|
|
一、灰鸽子病毒事件
4 f( T6 V, G. ?% y
- D9 J; u3 b: G W
. e6 S8 z P/ V. [小白:东哥,我最近弄了个新鲜的东西,可以远程控制我家的家电,例如空调,电视,冰箱……, U& I& D4 m6 P& b1 ~, E
! T$ b! l$ l+ n+ {) Y/ ~& r
6 ~1 Q0 T" `6 h大东:嗯,这个不错!' Y; b# t) W) `: U4 j
& z: ]' y8 W2 Z7 T5 i7 c
3 _+ C, [8 p* J- y手机远程控制空调。图片来源于网络
3 O& d$ M B7 s+ w& z" m1 y
/ y: T( ]$ M% o& w: T9 m: {8 q8 G J0 z- h1 g4 t9 L
小白: 是啊,最便捷的是有手机、有WIFI就可以实现远程控制功能。( F% B: u% I4 g, u! h
! i) c! \! [# i y) ^: Q$ N# S* @ R Z5 H) ]) C: b; Z+ f1 D
大东:等一下,便捷中往往隐藏着“邪恶”,你可要小心灰鸽子病毒啊!
) K4 Q' U4 |* Q2 \1 F7 s( ^3 F0 J
( m* y8 v0 a1 S$ U# ~$ U
6 o0 V' {4 n& @. w6 M小白:灰鸽子病毒?
: }. S" L: |: `/ e$ i
9 w. ]8 {1 z2 K( M# w( I6 L) }, c- M- J* \4 E" T/ Z. |
大东:是的。灰鸽子本身是一款远程控制软件,但是因为恶意使用,又被认为是一个集多种控制方法于一体的木马病毒,一旦用户电脑不幸感染,可以说用户的一举一动都在黑客的监控之下,要窃取账号、密码、照片、重要文件都轻而易举。
+ M+ i1 P9 l, B
; e8 J' C1 {# q* d; k0 m* Q2 r0 A* \+ H ]6 V. j
小白:我的天啊,那我的隐私岂不是完全暴露在大家的面前了?!1 i% Q& x" L# s$ G5 H
$ S# E H: R; R. X
7 v# d( h4 r! Z大东:不仅如此,他们还可以连续捕获远程电脑屏幕,还能监控被控电脑上的摄像头,自动开机(不开显示器)并利用摄像头进行录像。) C1 m8 [8 o' O- M8 P) V- N% M
1 h$ R9 K7 k2 G6 r2 J' l1 v# }1 @( N
/ m4 o4 Z$ U6 B: M0 ^; x" c
小白:简直是太可怕了!假如我没洗头、没洗脸、穿着邋遢衣服的样子被拍了下来,上传到网上的话……
* e9 X; @( [2 x6 t3 W
2 x7 w: `2 E! f0 U2 N+ J! ?; r* C/ J. Q1 W2 D1 t- T/ j
8 Q0 n; A1 N4 y+ S/ p+ D% d$ e- R, [
% Y9 T% ~4 ?- G6 H: S; r, N
大东:emmmmm……你这个颜值估计上传了也没人看。我们言归正传,继续说灰鸽子的事。随着“灰鸽子2007”的发布,当年仅3月1日至13日,金山毒霸截获的灰鸽子变种数就达到521个。盗号、偷窥、敲诈以及骇人听闻的公开“叫卖”,危害更甚于熊猫烧香。
+ S- j+ c9 C) w; }2 p0 F+ |
, O/ _, B$ c* `! w T, P: z Q# ^8 [* u: _" o
小白:这群人简直太可恶了!
% L; x' E8 R9 C* G( a; Y
8 S6 M7 h3 a4 r( o- n
: O0 w1 Q8 s5 }# u$ K9 c大东:而且灰鸽子已不再是一个单纯的病毒,其背后是一条制造病毒、贩卖病毒、病毒培训为一体的黑色产业链,从某种意义上讲,灰鸽子的危害超出熊猫烧香10倍!
4 E/ ?6 A! p$ W+ r9 z( \
0 E8 F4 k$ C4 W! g9 c Z
$ B6 l F/ X D8 k b% O& ]) ^$ ]1 t灰鸽子产业链示意图。图片来源于网络 1 X' {$ P2 P2 M- A8 [
+ J( t) k+ g7 E3 I+ F1 Y1 Y
小白:东哥,那我们就拿灰鸽子一点办法都没有吗?8 C0 R" @7 o. B3 d( b" L6 }
. T2 W" n' B7 F
7 x' {& s% i" @& W8 C5 h
大东:灰鸽子虽然强大,但它并不是完美无缺的。让我为你解析一下这个难缠的病毒。
: m& h- {1 b4 W8 _4 R1 H
& m' M, h, Q6 f' z# r' A: b二、灰鸽子病毒发展史
2 Y! x; E! [. m9 H- T' W, _6 s+ z& B3 y/ n' N$ H, L* z
' K8 O# j6 ^1 I! q7 |
大东:先来说说灰鸽子病毒的发展史吧。/ g4 Y6 F G3 t' e
: z4 ~/ n, L! B" n' B* i/ e, o; b
7 a9 C2 c# ?8 b( I* P- u% }
小白:好呀,我最喜欢听历史了。
2 h. I2 p: o# N4 f
9 ]! ?3 X& ]- w( I3 R/ L
- {( V) n; S+ w大东:灰鸽子病毒发展分三个时期:诞生期、模仿期、飞速发展期。
, L9 o; P% I! |. R3 |: H6 \+ P* K1 X+ V, S1 e) q- ^# L) E/ j
2 K; c+ [- @# k: ?3 p% F J
小白:先说说诞生期吧。
3 |5 d0 }' J2 l" W! a8 L9 Z8 S. f- _$ r5 v7 ~
1 C9 ?% O' x# C6 }8 s* Y大东:诞生期自2001年,灰鸽子诞生之日起,就被反病毒专业人士判定为最具危险性的后门程序,并引发安全领域的高度关注。2004年、2005年、2006年,灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒,灰鸽子也因此声名大噪,逐步成为媒体以及网民关注的焦点。% J/ i- e$ y* a3 j% z. \
v k7 U8 k% ]
6 _1 Z4 H9 N! p" R# i7 ^小白:最具危险性的后门程序,听上去很厉害嘛。
t. C8 X( P& m8 R6 u' V/ `3 M2 e, A* R% x# G! T( L
$ Z! x& E4 I! {3 [3 T) X/ |
大东:模仿时期,灰鸽子最早出现的时候是在模仿“冰河”。它采用Delphi编写,采用了源码共享的方式出现在互联网。虽然“灰鸽子”在当时的名气不及“冰河”,但由于开放源码的方式让“灰鸽子”逐渐增大了传播量。' ~( D; S% v- S
0 p: d' z u5 d0 [) I
! c' P4 a; h) u% m) U; h8 W
小白:这么说来冰河是灰鸽子的“前辈”啦!那冰河也是远程控制软件吗?& F0 J! v& k7 _6 X& `; ?& z0 ?' _
) K9 K) I2 P$ r, F |
( B* K# d$ D$ p* s" P% m大东:是的。冰河的可怕之处在于自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入、记录各种口令信息。还包括获取系统信息,例如计算机名、注册公司、当前用户等多项系统数据。远程关机、远程重启计算机、锁定鼠标及锁定注册表等多项功能限制也是他的拿手强项。( X' g7 |5 K$ I4 c+ j$ v; p3 {& C" |% i9 z
! o0 h7 s0 C; Z5 X9 r
9 T H# ]7 b; ^" I" k5 ]+ Q小白:说远了,该说灰鸽子病毒飞速发展时期了。
1 \; X& S# ]3 t/ E# w. v/ z2 C# s2 j) B7 v% b
( t: u2 c7 |/ d大东:2004和2005这两年之间,灰鸽子逐步进入了成熟的状态,由于源码的释放,大量变种在互联网中衍生。2004年灰鸽子总共发现了1000多变种,而在2005年,这个数字迅速上升到了3000多。
& ?7 n, ]! t2 u, v! S# x
, W4 D: u8 r) a: i0 F! j% b' z
* K `+ L- H3 W$ e% Y1 T8 n小白:变种也太快了吧?!
1 U* D! N5 k1 g; M0 p8 u0 H* d4 a3 I& t7 g( L3 g. X# v2 _' x* |
1 Y' B& R- L: i: m) N+ y ]) v大东:“灰鸽子”最大的危害在于潜伏在用户系统中,由于其使用的“反弹端口”原理,一些在局域网(企业网)中的用户也受到了“灰鸽子”的侵害,使得受害用户数大大提高。2004年的感染统计为103483人,而到2005年数字攀升到890321人。“灰鸽子”本身所具备的键盘记录、屏幕捕捉、文件上传下载和运行、摄像头控制等功能,将使用户没任何隐私可言,更可怕的是服务端高度隐藏自己,使受害者无从得知感染此病毒。; _! V, A) u Z
X' _& U: t( r. f* f' x2 L
) C& j* a9 B& P+ U* A- B
小白:令人害怕!" |0 y1 H' j' C/ z
t+ J$ S) Y ]4 }
三、灰鸽子病毒清除办法
; Y. b( a( j6 \4 R8 o
7 F1 |% z5 W( z. u: m: M* O* @! [! ^9 S: l ~* V) x
大东: 但是利用一些检测方法就可以将灰鸽子揪出来。通过研究发现,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子服务端。
2 L) @/ G$ }. h1 Y& Y- I ]! M, Y! D6 T# q, y* r% o
2 y# F7 ]& a* K+ [3 w6 h1 @. Z
小白:那是把“_hook.dll”结尾的文件删掉就可以吗?
. P- Y" m% f0 s. Z5 J8 J; T0 ]% E: @& k3 A' s5 L! v. b6 w
, ~" z8 P+ e' V7 M( k t
大东:当然不是那么简单。由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行,而且要把Windows设置成显示所有文件。并打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。经过搜索,在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。4 J& n W) T5 x; o; P4 b
* ~. e9 T6 ~$ j% u' U3 U% O; b& E* C Z& o
小白:这就是灰鸽子文件了吧!5 }& K8 a, B2 w ^8 t
4 x' K( C6 [9 x: F, R' b
( o+ O y9 F& H, T7 H8 T$ Q: @* O- b
大东:还不能确定。如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。这才是真正的灰鸽子的服务端,不能“冤枉”好人啊!: R0 c3 r: T: L1 o i, S
" E& J I# d/ a" a# s0 t! i
) f0 P& L1 Z5 X( }8 b
Game.exe和Game.dll。图片来源于网络
) Y+ T# K# {8 J& \. J" Z+ m
% a1 `6 o+ ?' T/ {( ]0 L6 h( a% a, K* ]
小白:原来是在这样。把这几个文件删除就可以和灰鸽子病毒say goodbye了吧!! X* ?8 P, z v; ^# n2 c, F, [
$ `" R2 I& f( `% o' [2 r
' B T! k+ E' m* S大东:总共有两步,这只是其中的一步。首先清除灰鸽子的服务,注意一定要在注册表里完成。清除灰鸽子的服务一定要先备份注册表,或者到纯DOS下将注册表文件更名,然后再去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联。
. T1 l- k) N7 V: I% c/ K- L" ^
# C$ ^+ G* w/ n, Y; S6 W5 G
~% r4 N$ K5 O# e, x小白:东哥,具体应该怎么做啊?教教我呗。
; a: m0 r, t, \1 f6 Y
2 Q4 M) D' `) @* ?! C" K& ?
) g8 O0 ~% }- `1 r$ N5 K大东:第一步打开注册表编辑器(点击“开始”- “运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。第二步点击菜单“编辑” “查找”—“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server,每个人这个服务项名称是不同的)。第三步删除整个Game_Server项。
/ |) W( s5 E6 F. Z
$ e4 d9 Z [1 n& Y5 q9 d( f- A: _
& S" e& v" \3 V3 w% T2 [1 t0 z3 x查找game.exe。图片来源于网络 - C, {+ V+ b( x H _' _1 i( w
" J' ] x# N8 g" o$ m
小白:这其中的第二步是不是就是我刚才说的删除Game.exe和Game.dll。
1 w _, ^2 ], R+ P# R$ w+ K$ y; P7 L( w' `' t1 ?1 x% y% M" L+ z
) l9 n8 \: i) E; w( Q$ s; U/ ^
大东:bingo!你只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机,就彻底告别灰鸽子病毒了。' x- w3 p, h, `! j& @) _' x( H `
6 W: T8 d9 g( S* x* g1 u四、防范措施6 p4 {9 a) D$ G; X# A$ e8 O
! s8 M! t# q; ? |
小白:东哥,那该如何防范灰鸽子这类病毒呢?% i' z' V% I4 u" a' S7 o
+ J9 j# y9 I# t1 h0 C5 O4 f
/ u, ~# @! m: g+ [# ?大东:有些办法虽然有些原始,但总是最好用的。比如说给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack)。
" N( N l7 E- J5 p# O; Y: V0 r- d _/ d- N5 C% z
0 D+ ~: [7 l) d9 y小白:东哥,我们老说打补丁,补丁的专业解释是什么呀?我们为什么要定期打补丁呢?( H' U( G- s8 J
" i8 k/ t7 M7 H& m# t! h- O. M2 q* Y0 A$ l7 L# k7 e0 h; k
大东:补丁就是操作系统的不定期错误漏洞修复程序。一般在开发过程中,一开始有很多因素是没有考虑到的,但是随着时间的推移,存在的漏洞问题会慢慢被发现。这时候,为了对系统本身存在的漏洞问题进行修复,系统开发者会发布相应的补丁。黑客如果利用这些漏洞,就可以得到计算机的控制权。, U" y% p& C1 R4 t/ T
5 W% Z) Q9 X; b( X0 Q) b: p1 ]5 m
小白:东哥,还有类似的“原始”方法吗?+ M' ]1 @8 j2 q$ i7 y5 }, V* a
$ e: W4 m3 [; v8 ]; r) y& T0 V* `
# T3 R9 L* H, z2 b2 H* F
7 Y( l) A# Q4 F
5 L/ O8 ]3 U% ]
大东:给系统管理员帐户设置足够复杂足够强壮的密码,最好能是10位以上,字母+数字+其它符号的组合;也可以禁用/删除一些不使用的帐户。如果记忆力够好,经常改变密码也是也是个不错的选择。* p1 d& W3 ]0 l* |% n& n% J* s1 [/ x1 w
1 \, e3 r, v5 d `1 ^" f2 e
8 S6 [6 u J; f! |, h6 A2 K* k- F小白:对,比如说我就经常换密码。
! ]( D4 o3 e) _' R
% a* ^9 q8 _) d s5 Z9 _2 z8 a- J0 I' ? z
大东:哎,不过你也总是忘记密码。不过单纯地讲,换密码这个习惯还是不错的。
2 C$ `3 K5 s+ B; r+ ?: G& k
% Q6 L5 d& {/ O/ `; n, [0 ^3 \0 m; ?$ b
小白:东哥,你总揭我老底,就不能给我留点面子嘛?* ~" o) b' a5 c6 B
% ]7 c; I% T* Q; Z# x! T& M8 G9 H# s0 s" F1 p1 I) o& N; A9 k; A
大东:(装作听不见的样子) 嗯,我们继续说防范的方法。经常更新杀毒软件(病毒库),安装并合理使用网络防火墙软件是十分必要的。网络防火墙在防病毒过程中起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。5 b' h7 K# b3 r; U$ `8 n1 R* u q1 ~
4 i9 P; o* X0 q, c+ d5 {5 g6 s; h# B1 ]
小白:东哥,还有吗?
6 [' @4 u1 W3 A, g/ Q/ P% Z; h) q: M. r' F+ K* d6 l& L; V6 y
1 _' t% z1 s" C9 R
大东:关闭一些不需要的服务,条件允许的话可以关闭没有必要的共享,也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。
9 f$ F( m) g6 ^" A. O+ D4 P- {
9 S) M: W& ]9 j
( m& T9 Z2 u) e5 ^4 S0 v小白:懂了。东哥,通过你刚才的讲解,我回忆起来了许多东西。
2 N; m- ? l0 r0 o) l' ?$ N# m* }+ ~. ~$ `, w5 A+ k9 ?
! d) M# C" a- m2 D大东:温故而知新嘛!% W" A/ P1 X+ c" q3 D' H/ W8 f
7 u) b9 X7 j6 _; ^- x
0 |( z) g" w- ?, v5 k8 w. u0 T
来源:中国科学院计算技术研究所
7 @$ S) ~5 M0 T9 s" ^; Z, |) [1 V- j" W6 x3 o& N
% F% r$ b! c# \温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」% t# o# l I6 O- ~5 X' P0 S" ~
6 G6 n* i& r! c# ^
+ R* l' e$ m( s4 q, [8 C0 T4 K& {" y6 c1 V% t$ z
) k# ~5 c% y5 ^9 T5 S
 4 x; p0 { Y/ a! L* h7 s2 b" ~
" e; J8 z6 W0 c Y来源:http://mp.weixin.qq.com/s?src=11×tamp=1574510402&ver=1992&signature=Tvxe-dv0Pli2WOy8jx6-Hw7rnv9HYpasycZdOiA27ix8cPjxnROs0K1kkvdUU-4qOv15U3svsKSNcI-QAj5BtJGG0rX5r4iFdLPgzGOu9EXoWlxVCaXxE1chtktOJjK2&new=1, O. [, a1 p. {; ~8 q) @# y
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
/6 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-11-23 20:40:29
