|
|
一、灰鸽子病毒事件
6 f' t! ?/ U5 ^1 }: w$ }2 }& M M, M: ? r
; o N: J+ N% u$ d
小白:东哥,我最近弄了个新鲜的东西,可以远程控制我家的家电,例如空调,电视,冰箱……1 E3 e, N5 J6 H6 N8 y
# q, _* h2 R7 z+ p( c6 {; |) ?% z" J8 u: S' c
大东:嗯,这个不错!
9 R. G1 K# j; H w+ o. t7 k : q6 r9 W: h- A4 W# l' e* F, |
! v/ }" c0 k6 W. ^; S手机远程控制空调。图片来源于网络 7 H; N. j6 Z) [2 u& q' i0 ?4 e
& U. C. e1 z! J; A" i" p% Q$ w- m1 T m9 j3 W
小白: 是啊,最便捷的是有手机、有WIFI就可以实现远程控制功能。& z# z- h4 L" D, |/ c" B
J0 e/ b' F, q9 b- [# o
9 P6 T# [6 r4 ~6 J* T7 N大东:等一下,便捷中往往隐藏着“邪恶”,你可要小心灰鸽子病毒啊!
2 g" c, C' e# n) T( [- R* ]
6 [* [ G& I& z* g9 p6 d. b
8 U/ @/ V8 _; C7 _! w9 G0 `5 K小白:灰鸽子病毒?
7 s4 `+ t O6 B: ^) _2 {
( `+ n6 o6 a8 @' J2 o5 W% V" \9 M4 E3 I$ k2 J, [; P
大东:是的。灰鸽子本身是一款远程控制软件,但是因为恶意使用,又被认为是一个集多种控制方法于一体的木马病毒,一旦用户电脑不幸感染,可以说用户的一举一动都在黑客的监控之下,要窃取账号、密码、照片、重要文件都轻而易举。) ?) u4 Z2 L0 S
7 D' r1 C0 Y6 R# p" `0 G8 b) C [* l# e [ _5 v
小白:我的天啊,那我的隐私岂不是完全暴露在大家的面前了?!
& X0 F# r8 V! r8 Z/ m+ S* j6 S8 X# l, p- L+ z
& T! w9 Z! C9 F, Z' ?6 b; \
大东:不仅如此,他们还可以连续捕获远程电脑屏幕,还能监控被控电脑上的摄像头,自动开机(不开显示器)并利用摄像头进行录像。8 L- v0 `/ } z0 L' `" y
" |9 \2 _1 @8 ]( k
6 A _7 f% [! t8 q# K8 ` B小白:简直是太可怕了!假如我没洗头、没洗脸、穿着邋遢衣服的样子被拍了下来,上传到网上的话……) v" G7 _$ K6 c, q, G9 d' {8 Y
# {+ _, E$ _) ~% P4 k* V1 z; {6 a% J( T, [
6 e: R6 W4 N3 z# Q. P W- o( S
5 B5 P3 S+ V/ S/ u
大东:emmmmm……你这个颜值估计上传了也没人看。我们言归正传,继续说灰鸽子的事。随着“灰鸽子2007”的发布,当年仅3月1日至13日,金山毒霸截获的灰鸽子变种数就达到521个。盗号、偷窥、敲诈以及骇人听闻的公开“叫卖”,危害更甚于熊猫烧香。( [& l$ \) e8 J/ \& N
* @; Y3 u/ j# J/ B; u
. q" I! a& a! c4 x- R小白:这群人简直太可恶了!
0 Z$ ?9 \/ [, K5 G6 E3 [4 r
# Y. g" n- K) J& {# M; F7 H# y' O4 H! F
大东:而且灰鸽子已不再是一个单纯的病毒,其背后是一条制造病毒、贩卖病毒、病毒培训为一体的黑色产业链,从某种意义上讲,灰鸽子的危害超出熊猫烧香10倍!
0 |, m* d0 W+ [) E2 y
% O2 C$ c ^: s0 {! J! \
( S+ b9 u7 p, m) |8 W灰鸽子产业链示意图。图片来源于网络 7 C. J. K3 g" i
0 F5 y, z2 g; z4 y& M& }小白:东哥,那我们就拿灰鸽子一点办法都没有吗?
8 ?' ~2 C' e, R0 p2 s) j7 J' F+ l
: c0 }# k# p+ J5 f2 y& I9 R& f5 t1 i2 o0 I7 D
大东:灰鸽子虽然强大,但它并不是完美无缺的。让我为你解析一下这个难缠的病毒。0 d- z; Q+ @" v" S* U
! E& G6 h" o, x8 y" C9 \& ~" N/ Q二、灰鸽子病毒发展史
9 j, ?0 h' m$ s1 V! G! g
, q. w5 W$ Q8 j4 T+ H; y+ I" ?# V4 s; T: |, B, D# f6 B
大东:先来说说灰鸽子病毒的发展史吧。* I, P) ^2 l( ^& X
$ s0 v% ?& e$ _6 Z
3 b/ k: N, H) T1 `% H小白:好呀,我最喜欢听历史了。& N$ Z2 S0 M$ s0 D
& y1 a H1 B- a& Z/ N
6 V4 I' q+ A$ i e. A+ o0 }: F! s2 q
大东:灰鸽子病毒发展分三个时期:诞生期、模仿期、飞速发展期。9 i/ A# R% f2 G$ J( f' c* D2 U
/ \* d( d$ \, n# {8 g9 l
4 a3 g/ Q' V! c8 P& ?
小白:先说说诞生期吧。' }# l8 p9 |8 j: {$ c' X& M1 T
. H; O5 \- k) L5 J0 T. Q1 E$ }; m" B7 L& V$ g: E" J' N
大东:诞生期自2001年,灰鸽子诞生之日起,就被反病毒专业人士判定为最具危险性的后门程序,并引发安全领域的高度关注。2004年、2005年、2006年,灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒,灰鸽子也因此声名大噪,逐步成为媒体以及网民关注的焦点。# f- G# j4 X/ s2 B& ~- |
! W1 N( y# _; c9 d
m4 J: I& s6 m) m+ L. y( c小白:最具危险性的后门程序,听上去很厉害嘛。/ k& k3 w% H0 ^6 m- Q
k" d! E: w; h: ^ U$ u1 l; F& U1 @
大东:模仿时期,灰鸽子最早出现的时候是在模仿“冰河”。它采用Delphi编写,采用了源码共享的方式出现在互联网。虽然“灰鸽子”在当时的名气不及“冰河”,但由于开放源码的方式让“灰鸽子”逐渐增大了传播量。
4 B/ C" N T; q7 |! F) Z( C) b& w I$ a2 B
: {/ k& P9 k5 N# R
小白:这么说来冰河是灰鸽子的“前辈”啦!那冰河也是远程控制软件吗?, L5 U @- E' S* X
& G% G, o5 d; g) h6 T7 P; v& v1 J# b
9 h7 Y4 c. M# C. I) x大东:是的。冰河的可怕之处在于自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入、记录各种口令信息。还包括获取系统信息,例如计算机名、注册公司、当前用户等多项系统数据。远程关机、远程重启计算机、锁定鼠标及锁定注册表等多项功能限制也是他的拿手强项。5 m" M/ R. u( R. v) `
. N# }; {# m n% P4 o S/ l& G. n5 c& j9 ~' b
小白:说远了,该说灰鸽子病毒飞速发展时期了。* J- @, M% a4 h* m4 K
( I1 Y+ L d2 e, F4 d& A7 K
8 h0 j7 P& D8 S( p2 u大东:2004和2005这两年之间,灰鸽子逐步进入了成熟的状态,由于源码的释放,大量变种在互联网中衍生。2004年灰鸽子总共发现了1000多变种,而在2005年,这个数字迅速上升到了3000多。& Z" t1 t. N) P/ a
" ?; q1 |" e# f0 \) q* f$ x9 u8 m" e8 P1 t# U! P
小白:变种也太快了吧?!
L' }; D! ]+ m; v: l6 h
& E6 M) T \5 h: }& o- z1 }9 `7 T* z2 e1 \; E6 `$ Z
大东:“灰鸽子”最大的危害在于潜伏在用户系统中,由于其使用的“反弹端口”原理,一些在局域网(企业网)中的用户也受到了“灰鸽子”的侵害,使得受害用户数大大提高。2004年的感染统计为103483人,而到2005年数字攀升到890321人。“灰鸽子”本身所具备的键盘记录、屏幕捕捉、文件上传下载和运行、摄像头控制等功能,将使用户没任何隐私可言,更可怕的是服务端高度隐藏自己,使受害者无从得知感染此病毒。- O7 a$ r0 k& d$ x7 c
: R/ k9 P- r6 L! z( A
2 l0 Y! r1 ]) F1 @小白:令人害怕!1 s0 q9 [, a Y" Y* Q5 m$ u
& C6 Q4 n. U6 w
三、灰鸽子病毒清除办法3 z' s* T0 w; m8 ?8 w* |6 y
( \! M5 B8 l1 v$ G/ a: t3 {/ _& t, l- }5 z) d5 j
大东: 但是利用一些检测方法就可以将灰鸽子揪出来。通过研究发现,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子服务端。
. ^) f L' ?6 g) I$ [& \2 A
8 N. o7 g! w) i7 X
2 M2 k4 I8 j9 }* Z& ~8 k! [6 E+ n) I% g小白:那是把“_hook.dll”结尾的文件删掉就可以吗?
8 v* @+ k; N& P; i# w) R6 E
, m4 e5 S7 m% |' U8 n5 K
* h9 _+ V) B* D* V p2 R大东:当然不是那么简单。由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行,而且要把Windows设置成显示所有文件。并打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。经过搜索,在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。+ _4 R2 v6 ?; L. I; Z/ C8 L6 o
7 E% G' g- v5 O: w! k/ G2 S. I
* F; d0 a& R& ]$ a0 u: Y小白:这就是灰鸽子文件了吧!2 K% u* k) Z7 U+ m/ c& V* S
d* K; d4 E+ n; A! Y! q7 g3 [5 q5 b. l& i
/ _' }1 [- G s! P6 P
大东:还不能确定。如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。这才是真正的灰鸽子的服务端,不能“冤枉”好人啊!
. t" m3 Q0 M+ y% p) _* B
& `: @4 \- l2 S0 ~2 S2 B& {. {5 y; t
# `- T0 G6 P' dGame.exe和Game.dll。图片来源于网络 " G" ^8 Z( }1 }: @. h& D, i
# r0 j* L/ p0 c. |* P9 U; Q8 x7 \6 n; x/ Q
小白:原来是在这样。把这几个文件删除就可以和灰鸽子病毒say goodbye了吧!+ R' O8 L: }2 F6 s
' N7 j+ J5 x2 a5 C) @. o! m F
' |) a% j1 h9 }
大东:总共有两步,这只是其中的一步。首先清除灰鸽子的服务,注意一定要在注册表里完成。清除灰鸽子的服务一定要先备份注册表,或者到纯DOS下将注册表文件更名,然后再去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联。
( f G, A1 A0 E, ?4 s
7 \! p+ e; Y, D, y
- W; j; |4 D8 \2 ^( g3 y1 L; Y小白:东哥,具体应该怎么做啊?教教我呗。
) d3 X7 `6 }+ \; I) l. n; Z/ P& }: a8 W/ L* \% @% C
( l4 x/ A, b: C9 i
大东:第一步打开注册表编辑器(点击“开始”- “运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。第二步点击菜单“编辑” “查找”—“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server,每个人这个服务项名称是不同的)。第三步删除整个Game_Server项。
0 A0 |' i8 ^" a5 _) r . P: s+ l, X4 q
0 _" @3 e. S6 j1 [7 Z1 V% `查找game.exe。图片来源于网络
' N* r# h, e: S2 X: A% Z' o0 d' ^; R O' O# W( C
小白:这其中的第二步是不是就是我刚才说的删除Game.exe和Game.dll。! u7 L3 u. e# \ K
/ R9 c# P* C: |, c5 w# f
9 z3 u6 O1 J8 ]7 R. j, q3 ~0 E1 p& O; r大东:bingo!你只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机,就彻底告别灰鸽子病毒了。
& R0 ?2 D; j( z" L. `3 D6 i# I7 L M- G2 v4 y' h$ `7 o' a
四、防范措施
9 \1 R3 ~- H: F, C: ]. ?+ N& ^7 {0 X% }% L" c3 T/ S& H
小白:东哥,那该如何防范灰鸽子这类病毒呢?
0 ~7 I; ^5 n5 f$ [; [0 K2 {
3 w% r/ j. t* v5 i6 g- H
. `# H4 F& t; M9 q' y( h' x* m大东:有些办法虽然有些原始,但总是最好用的。比如说给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack)。5 P" q7 f) ^, Y* l& b% t9 u
2 f& g! r- X- v& _3 @2 n, p
Z0 J9 l( [8 V: T1 P. Q# A$ C2 r4 Q小白:东哥,我们老说打补丁,补丁的专业解释是什么呀?我们为什么要定期打补丁呢?/ M1 G. O& ^( u( Q: z. `9 c+ P, Y
' N# `7 i, }/ b# Q7 n
9 @# ^ O& Y7 R" b大东:补丁就是操作系统的不定期错误漏洞修复程序。一般在开发过程中,一开始有很多因素是没有考虑到的,但是随着时间的推移,存在的漏洞问题会慢慢被发现。这时候,为了对系统本身存在的漏洞问题进行修复,系统开发者会发布相应的补丁。黑客如果利用这些漏洞,就可以得到计算机的控制权。
h$ N8 V$ X9 _7 D. e y; j
$ [$ x& N* T3 t8 q# t' ~6 d) y. t, ?: Z( U; X+ ?
小白:东哥,还有类似的“原始”方法吗?1 `8 ?8 J n1 L* o$ F; X
: |$ [5 V: k* _* p2 U
2 E$ d( {( }8 Z) k6 }, X# X& E+ X
# O( N& M0 @4 ]! Y! G
) [ d2 F, r% V/ F大东:给系统管理员帐户设置足够复杂足够强壮的密码,最好能是10位以上,字母+数字+其它符号的组合;也可以禁用/删除一些不使用的帐户。如果记忆力够好,经常改变密码也是也是个不错的选择。
/ ` ?2 n/ X$ S) q2 R- q- f* {. H4 v7 \' S
* i/ B' d8 R" n# q- A9 b小白:对,比如说我就经常换密码。
# U) S7 I% J0 K: j. s/ r8 w% A( H' Z6 a ?4 ]! e p! M* F8 g3 t
% ^5 l+ a. T. N; l. M大东:哎,不过你也总是忘记密码。不过单纯地讲,换密码这个习惯还是不错的。) w5 L8 G" U2 G+ |/ T
" ~2 J% _4 s4 X4 z! T
" F3 A' u/ X3 O) M0 W2 r小白:东哥,你总揭我老底,就不能给我留点面子嘛?
7 K" v8 H9 B. w5 }. w! W
: Y( d% {2 [* I- U! ]5 h5 ?* [$ i% L( C0 f
大东:(装作听不见的样子) 嗯,我们继续说防范的方法。经常更新杀毒软件(病毒库),安装并合理使用网络防火墙软件是十分必要的。网络防火墙在防病毒过程中起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。2 Y* Y5 O, d4 v; Z* u
v+ p- j- m9 R$ h! [% e
! d' ^& l4 L4 E! X4 x小白:东哥,还有吗?
& U& D1 T6 l2 w7 d U! k! x9 w
. W1 T9 A' S! w- H% ~8 }+ }/ _1 L; b8 \ k' b
大东:关闭一些不需要的服务,条件允许的话可以关闭没有必要的共享,也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。+ f b5 j6 F0 R6 G
- j+ a2 q4 {% H& L# D0 _
" \; w1 O2 H5 i- d! b0 Q" t小白:懂了。东哥,通过你刚才的讲解,我回忆起来了许多东西。9 K/ d1 e5 e8 V4 e4 U
: ~% `0 U2 q9 I; Q' z6 M( U' P" m P# Y( @1 A2 p
大东:温故而知新嘛!# h+ p+ ?3 h7 P/ P. B+ l2 c6 i
4 a" J$ t' z% G1 Y- e' _6 z1 r
& b. [9 s8 u. j来源:中国科学院计算技术研究所' w" Q) s+ b {$ D
) `8 k! ~; b& \) o$ b
8 b7 N" a1 u) a# i3 u
温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」4 C' g- W5 x% K! A/ M
9 S* h" C# \3 M$ j
# N; A5 Y$ s; J4 _$ N/ ^4 j" T |
0 }( S3 b* X9 u b& V7 y! | J x
& R) T' E& y. h" o7 P
9 m7 f% @# U& q: P来源:http://mp.weixin.qq.com/s?src=11×tamp=1574510402&ver=1992&signature=Tvxe-dv0Pli2WOy8jx6-Hw7rnv9HYpasycZdOiA27ix8cPjxnROs0K1kkvdUU-4qOv15U3svsKSNcI-QAj5BtJGG0rX5r4iFdLPgzGOu9EXoWlxVCaXxE1chtktOJjK2&new=1) a1 N' o2 P& \( q0 W- r4 @
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-11-23 20:40:29
