一、灰鸽子病毒事件! c4 C; o! L- [8 {
8 @+ p$ q; S3 [
1 E- ~3 n4 M7 m" J, Y7 _, D小白:东哥,我最近弄了个新鲜的东西,可以远程控制我家的家电,例如空调,电视,冰箱……
; ?0 V1 ?& z$ ]0 _- ?& `3 C7 y
; X- ~/ {6 j- f9 @+ t9 P0 w
2 z$ X8 t( J$ j9 f' ?, m大东:嗯,这个不错!8 ?6 R- j( y% L+ Y) H$ |2 B
# `/ Z5 \; K- q8 P, k
4 I: |; _+ F) S. L5 \8 y- u, Y& Q
手机远程控制空调。图片来源于网络
: T1 H7 E) F# `1 A* A1 _- `- f- I- P5 x& h: E0 ?
6 m5 G. F5 Y" e/ ?* M- n
小白: 是啊,最便捷的是有手机、有WIFI就可以实现远程控制功能。
# D& f; h: ^# p: E+ O* H
i( U: M! W3 S8 N- |9 U4 P( V" I
8 f( i7 \0 [7 ^4 M$ e) e大东:等一下,便捷中往往隐藏着“邪恶”,你可要小心灰鸽子病毒啊!! w3 J9 E% [. O- [$ d
0 y; S" b& }" p1 f
, S/ T7 @1 n/ Y) f+ ]7 c# m( z. ~小白:灰鸽子病毒?
: a( N7 s% I! D( X& t3 t' q" H
1 ?4 x; S9 K4 U( `1 q5 w9 c$ j
% P3 K+ T; V! H% q. V3 r @* N n7 }大东:是的。灰鸽子本身是一款远程控制软件,但是因为恶意使用,又被认为是一个集多种控制方法于一体的木马病毒,一旦用户电脑不幸感染,可以说用户的一举一动都在黑客的监控之下,要窃取账号、密码、照片、重要文件都轻而易举。
! A% [$ v$ q$ @$ Y! J( s% v; f5 P. p0 S7 n. `* J/ D
# k# q7 u. c' s+ B: `小白:我的天啊,那我的隐私岂不是完全暴露在大家的面前了?!
0 E: `. C: M$ Z+ E+ v# r# ^
2 z& V- O S5 O {: [3 q+ r6 M4 h7 ?+ @
大东:不仅如此,他们还可以连续捕获远程电脑屏幕,还能监控被控电脑上的摄像头,自动开机(不开显示器)并利用摄像头进行录像。
& X5 l. c6 w5 j) b" x
, `, `6 N0 r2 m S: D$ Q+ Z4 ^. D: F6 D
小白:简直是太可怕了!假如我没洗头、没洗脸、穿着邋遢衣服的样子被拍了下来,上传到网上的话……" ^$ c/ w; N0 n1 [5 C, O7 w
" q9 S* ?; j* c* t# a6 w6 {6 ^* F8 I6 X6 F# s3 Z' J) y" }
: D3 q* q6 a6 W' H
5 E5 C1 K" T/ W- q; z: h
大东:emmmmm……你这个颜值估计上传了也没人看。我们言归正传,继续说灰鸽子的事。随着“灰鸽子2007”的发布,当年仅3月1日至13日,金山毒霸截获的灰鸽子变种数就达到521个。盗号、偷窥、敲诈以及骇人听闻的公开“叫卖”,危害更甚于熊猫烧香。) F- e" E3 ^7 f% `! s
) d0 W, L8 m# G5 C; o
0 }2 f5 w4 p3 }% m, e- ?5 T
小白:这群人简直太可恶了!8 J9 n! l+ V O: q% W( A: x
; [2 U8 w' N b; C1 s3 y% ]3 |4 D, S' ~
大东:而且灰鸽子已不再是一个单纯的病毒,其背后是一条制造病毒、贩卖病毒、病毒培训为一体的黑色产业链,从某种意义上讲,灰鸽子的危害超出熊猫烧香10倍! ; w! a' O. g* C) y: {' b, U
: s1 }* c! ~' X- g2 _( X2 e
& {7 }, I+ {( ]4 H$ O灰鸽子产业链示意图。图片来源于网络 " H9 D% p0 S6 x( C0 {! D
0 D! n8 w" H2 @. N7 p9 z小白:东哥,那我们就拿灰鸽子一点办法都没有吗?' E4 v; ?' c% H- N! r; C: o% g
3 B( G* z+ t: |, B/ }; c
& L- P+ n: O* x1 S# h# ~9 s0 p2 \大东:灰鸽子虽然强大,但它并不是完美无缺的。让我为你解析一下这个难缠的病毒。
. F- o# i: q( G
3 F5 e0 g- L( B2 f- [/ a% Y, H$ W' H二、灰鸽子病毒发展史
- d# U7 C8 ]/ d- ~( p# N
' ]; i ` }- ^8 J! ]
/ S& A4 o0 U% v* h/ y大东:先来说说灰鸽子病毒的发展史吧。
/ ?! P' G1 f' Q" X2 \% l6 l4 ~/ \+ ~0 i, P/ D/ o
" ?; Z( z: a5 d" W小白:好呀,我最喜欢听历史了。- t7 [: O# j7 H- j
, B1 v! `5 L, t: r
c$ y' o/ p$ _- ]" e" |/ k大东:灰鸽子病毒发展分三个时期:诞生期、模仿期、飞速发展期。
- y& ~/ c# r' x! ~: y, Q& P z3 G( j1 l& L/ b' J0 v0 C: q
" N/ ^& f: i: p: S
小白:先说说诞生期吧。
$ M( x/ I2 i; V e. J% p4 |, Z3 K4 X$ L0 Y6 C; h- P
% u. V: d, E S' F) E1 u0 F
大东:诞生期自2001年,灰鸽子诞生之日起,就被反病毒专业人士判定为最具危险性的后门程序,并引发安全领域的高度关注。2004年、2005年、2006年,灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒,灰鸽子也因此声名大噪,逐步成为媒体以及网民关注的焦点。
3 g' V, V9 {+ y' N+ L+ U0 W( R, c/ f" \4 y0 C6 X, U4 v. N: h
t: R* i, e: L1 L }, P: |4 \
小白:最具危险性的后门程序,听上去很厉害嘛。
% Z0 d1 ~; O! e8 h
3 [) E& \; o' D& k& S$ T1 a9 K$ ~' J( [6 w$ a( `4 f
大东:模仿时期,灰鸽子最早出现的时候是在模仿“冰河”。它采用Delphi编写,采用了源码共享的方式出现在互联网。虽然“灰鸽子”在当时的名气不及“冰河”,但由于开放源码的方式让“灰鸽子”逐渐增大了传播量。* f: Z* \; s: l! q5 L
6 z: |3 t: `4 p! D" d
( ^: c4 G, f' w. x7 ?+ j0 G$ n小白:这么说来冰河是灰鸽子的“前辈”啦!那冰河也是远程控制软件吗?4 J/ ?/ Y& Z, k" V- ]! C- K% u
7 ^& n1 ~, Y8 L5 p8 X; Z5 Y
, I. L6 W% T, P4 Q/ [7 J! [大东:是的。冰河的可怕之处在于自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入、记录各种口令信息。还包括获取系统信息,例如计算机名、注册公司、当前用户等多项系统数据。远程关机、远程重启计算机、锁定鼠标及锁定注册表等多项功能限制也是他的拿手强项。
& Q" [; h. t/ O
) @* M' S$ N* [" Z4 E% Z
$ c* X6 \9 e9 ]# }' X1 ~5 B小白:说远了,该说灰鸽子病毒飞速发展时期了。
}2 g% Y. m9 T4 }' p: ?+ j2 S$ G! D$ D7 N) C. N' w p
8 R9 L4 X2 N) Q大东:2004和2005这两年之间,灰鸽子逐步进入了成熟的状态,由于源码的释放,大量变种在互联网中衍生。2004年灰鸽子总共发现了1000多变种,而在2005年,这个数字迅速上升到了3000多。
/ {6 C4 l) X" Z: m
* i' p2 e" r4 i R
, G; H! ? U4 e( H小白:变种也太快了吧?!
* E( U* B3 p9 B" x6 p; H$ |2 e' M3 \ ]- G8 }5 A
0 M7 S L% l( {( O
大东:“灰鸽子”最大的危害在于潜伏在用户系统中,由于其使用的“反弹端口”原理,一些在局域网(企业网)中的用户也受到了“灰鸽子”的侵害,使得受害用户数大大提高。2004年的感染统计为103483人,而到2005年数字攀升到890321人。“灰鸽子”本身所具备的键盘记录、屏幕捕捉、文件上传下载和运行、摄像头控制等功能,将使用户没任何隐私可言,更可怕的是服务端高度隐藏自己,使受害者无从得知感染此病毒。3 K8 I( L- c1 H) e
+ u2 s& u5 `6 i. ]
! V0 J/ F: s" p+ @) y+ p4 {
小白:令人害怕!$ _( q" ]9 c, z* t7 T- L/ k
% _* X6 ]% @3 _. D+ c0 ]1 P, }三、灰鸽子病毒清除办法
/ c d8 i* B& u. B9 g1 z* \* a) [9 w3 n! t& i- z
: \% g$ g$ _/ d# J
大东: 但是利用一些检测方法就可以将灰鸽子揪出来。通过研究发现,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子服务端。
P; U! x6 `4 K8 M4 N: U( A9 Z' b2 B8 g7 D/ ~' B% p
. {3 d9 e" y; z/ h; Q* [8 y小白:那是把“_hook.dll”结尾的文件删掉就可以吗?' H0 F' i& e w( P8 H
9 K; x, v) e; I: ^# Z8 k
; `, m3 f1 V9 h: X+ o: C
大东:当然不是那么简单。由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行,而且要把Windows设置成显示所有文件。并打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。经过搜索,在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。
) l4 i- q, A% V7 N g, E m n# l$ X" J8 ~
" s$ V1 v' o' d! _7 ?! b小白:这就是灰鸽子文件了吧!
6 l- k: V: Z4 Y$ [+ P2 Z: V' Z1 h0 s+ R- g: v! T
' b6 Q6 @$ z7 c" X# q+ C
大东:还不能确定。如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。这才是真正的灰鸽子的服务端,不能“冤枉”好人啊!
4 V: `! f( P! g$ f9 F4 t$ [
- L2 _) K" u) [1 v2 w
5 @7 I% @1 {# HGame.exe和Game.dll。图片来源于网络 / b; R- f. Z9 z1 \5 |
$ |7 z t8 |& o4 k* S
) `3 Y1 N. y n; \小白:原来是在这样。把这几个文件删除就可以和灰鸽子病毒say goodbye了吧!* w, o. F: a, |% F# q* s5 e
4 ~) B+ W& B6 r2 n- @
4 j, x7 V5 N& y4 P5 ~6 g大东:总共有两步,这只是其中的一步。首先清除灰鸽子的服务,注意一定要在注册表里完成。清除灰鸽子的服务一定要先备份注册表,或者到纯DOS下将注册表文件更名,然后再去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联。! L \6 `7 u6 s d* u
6 X8 v2 P$ Q3 ?
, p- u* n5 |+ F6 E8 A# }3 ~小白:东哥,具体应该怎么做啊?教教我呗。
# M# L& k, \4 L b
* M8 j$ E$ z6 X1 B; u. [
8 A' W O# Y8 d8 i大东:第一步打开注册表编辑器(点击“开始”- “运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。第二步点击菜单“编辑” “查找”—“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server,每个人这个服务项名称是不同的)。第三步删除整个Game_Server项。
' M7 b+ A% q: m4 m 0 m Z5 N- N) e/ d+ t9 T3 I
7 V) S \9 i2 _% B! d/ T查找game.exe。图片来源于网络 4 ~. B- h$ V! m0 O1 }
% u, g# f- R+ }* f4 m0 A8 S! B
小白:这其中的第二步是不是就是我刚才说的删除Game.exe和Game.dll。
' A! V7 ? X5 m( s8 n6 _0 F# ?# [
9 I7 D0 s0 @; }; D
大东:bingo!你只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机,就彻底告别灰鸽子病毒了。
9 k& ?. _+ u) ]8 i* T! t% x * o3 o4 x2 E; V" V+ s5 o$ U$ t
四、防范措施/ P5 J# }8 T4 S0 B( Z( Y4 e6 Z* j8 N
, _( l5 R5 m0 r1 _( P% `/ E+ u小白:东哥,那该如何防范灰鸽子这类病毒呢?
+ `3 k0 N) X6 i) i F. U" p2 C$ P5 v2 V0 s1 e& H" H1 \; x. [- v
, ^) p. ~% s3 s. @- |1 g
大东:有些办法虽然有些原始,但总是最好用的。比如说给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack)。3 z# i" o6 r$ g3 G! F" E: c/ {
( L4 P7 z+ t* {4 ], Q6 U: b8 t
+ M9 A) z3 `; B/ C; Y小白:东哥,我们老说打补丁,补丁的专业解释是什么呀?我们为什么要定期打补丁呢?2 S4 I4 S5 C! c w: P
. O. Z; e$ d$ p6 y
* `! e5 U: f/ V2 V& j9 E0 S大东:补丁就是操作系统的不定期错误漏洞修复程序。一般在开发过程中,一开始有很多因素是没有考虑到的,但是随着时间的推移,存在的漏洞问题会慢慢被发现。这时候,为了对系统本身存在的漏洞问题进行修复,系统开发者会发布相应的补丁。黑客如果利用这些漏洞,就可以得到计算机的控制权。
3 {. C7 K/ P: b- l6 W) ~" E! T
9 o$ Y6 O! i1 W m0 F' h6 w. Y0 ^; z% y3 E
小白:东哥,还有类似的“原始”方法吗?
. T7 J% I& {* G % z' Z& g& z& g f" q+ n- f
* ~/ N) H0 ~" M6 ]& m) {
7 o8 _* R/ K6 y8 O8 J3 `# i: |
4 o: F' A3 R% D大东:给系统管理员帐户设置足够复杂足够强壮的密码,最好能是10位以上,字母+数字+其它符号的组合;也可以禁用/删除一些不使用的帐户。如果记忆力够好,经常改变密码也是也是个不错的选择。0 c# u0 L3 f. ]; z
9 J- R1 |& y7 D+ k2 j c0 H4 C3 s5 W( m: i% `
小白:对,比如说我就经常换密码。
" D9 ~& c; N; g" V: l
; B/ b5 A' c* Y% e! D. w& Z" b. k4 t6 M
大东:哎,不过你也总是忘记密码。不过单纯地讲,换密码这个习惯还是不错的。) Y% j/ x( i0 S8 o5 j. g. q
. L u) Z8 D' @' I6 g5 Z4 z% t
$ c% U& `( v' W0 [' v小白:东哥,你总揭我老底,就不能给我留点面子嘛?
& n+ m+ z3 v7 Z2 J$ m/ ]! b. {: \3 q( h/ e/ @
& O/ O& Q; h. F大东:(装作听不见的样子) 嗯,我们继续说防范的方法。经常更新杀毒软件(病毒库),安装并合理使用网络防火墙软件是十分必要的。网络防火墙在防病毒过程中起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。8 K0 X' A2 @) m8 C. x# F
) H9 ?3 e# ]& O0 ^
- d4 M: g K/ p. H& [: o/ m
小白:东哥,还有吗?7 D# e- P/ p9 j( |4 h- d7 E' G
. [, @( G B; h3 e: y% \. u# x; @$ l Z& ?% k
大东:关闭一些不需要的服务,条件允许的话可以关闭没有必要的共享,也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。2 I" w5 Q4 |, Y3 C" V, p
1 N9 L) H/ u' K8 J* S1 l! Z
0 s z8 J! F& p
小白:懂了。东哥,通过你刚才的讲解,我回忆起来了许多东西。: Z1 D1 k# C& }# O$ X
5 t: D% U" O8 ~, E1 z3 T
# z( [; U U1 k大东:温故而知新嘛!" O. P2 O6 _" L/ w) N
4 ?! m7 O$ \, b+ o j8 u
' H. i/ B7 U4 ~, ^& o( V
来源:中国科学院计算技术研究所
; S$ t5 E: r9 `4 A3 i' P3 H; Q
( a& `' m8 R* M6 z8 k. A! Y d3 f: X% w1 W9 E( v/ X
温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」 j7 E( [0 P# } M/ C: ~
+ B( d, u6 Z" h% L; Q- O) I
1 {* J3 C& h `. p
/ G' o3 n" A: B: D4 S# {& `! h) U% J+ g7 B) |9 V
2 M2 @& t9 m. p! p6 t" k: M' n
, U. f8 F- ~2 Z" G8 i6 P来源:http://mp.weixin.qq.com/s?src=11×tamp=1574510402&ver=1992&signature=Tvxe-dv0Pli2WOy8jx6-Hw7rnv9HYpasycZdOiA27ix8cPjxnROs0K1kkvdUU-4qOv15U3svsKSNcI-QAj5BtJGG0rX5r4iFdLPgzGOu9EXoWlxVCaXxE1chtktOJjK2&new=1: n I% |) \0 g5 C$ }
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
/6 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-11-23 20:40:29
