一、灰鸽子病毒事件; l4 l& F4 S: V3 u: n
7 i% y; \' b6 C/ Q# k$ l J
# N* X# p1 f9 k: W3 }6 z6 c小白:东哥,我最近弄了个新鲜的东西,可以远程控制我家的家电,例如空调,电视,冰箱……! Q0 r9 e7 K9 H4 x Y" O4 l' C
6 f F6 v; e0 A3 Q) Z- _4 P* i4 ~
" T& t" N8 C2 ?# e6 `% U8 y0 G大东:嗯,这个不错!1 L/ C, r7 O F: X
) W- i; X0 E8 s2 T6 t
$ M' O7 W3 G5 o4 q% C手机远程控制空调。图片来源于网络
& m, f5 Q) K) b$ H w# r
" s' d9 E3 { n, e/ y1 P- `2 e% X* U! G2 z; ^8 ^2 N( k! G
小白: 是啊,最便捷的是有手机、有WIFI就可以实现远程控制功能。
) g- k* j9 @9 d5 H- K7 {0 O- K2 g
9 |3 u) s1 e% L2 d3 i, \7 a2 t; z3 N3 U: k* F. X8 J* a+ g
大东:等一下,便捷中往往隐藏着“邪恶”,你可要小心灰鸽子病毒啊!: T" z0 T* I+ F0 O
0 o" m% S" P$ p3 `2 ^' @+ s+ F0 f. ]6 `) a% A" y R
小白:灰鸽子病毒?
+ V% \& W: A0 D- L/ K) m R7 K! Q+ R4 m* X8 o
, i% ?+ o+ [1 O大东:是的。灰鸽子本身是一款远程控制软件,但是因为恶意使用,又被认为是一个集多种控制方法于一体的木马病毒,一旦用户电脑不幸感染,可以说用户的一举一动都在黑客的监控之下,要窃取账号、密码、照片、重要文件都轻而易举。: A% D7 i+ u2 ?+ }" e/ }
# v7 R; o6 q0 q
8 o+ L6 Y2 W$ Y* w- [# I
小白:我的天啊,那我的隐私岂不是完全暴露在大家的面前了?!5 l x: v2 ?& C5 ~4 h3 \7 ?
; M& }3 E4 V+ p% A9 Q9 u( w3 m2 Z7 D C; ~' r
大东:不仅如此,他们还可以连续捕获远程电脑屏幕,还能监控被控电脑上的摄像头,自动开机(不开显示器)并利用摄像头进行录像。/ ]0 e# N: g- L
& I6 `5 j! W, j" f! p
9 D/ s, S0 n! F8 W a
小白:简直是太可怕了!假如我没洗头、没洗脸、穿着邋遢衣服的样子被拍了下来,上传到网上的话……
/ x! v; k# U) ]% ]- C
7 c0 I9 P% W9 M9 H5 K) N: {3 Y
. a6 M6 G" ^6 @5 a5 H& h* N, m" y: l, C" _; x& N5 Y5 l
?* H1 d" T8 I3 u大东:emmmmm……你这个颜值估计上传了也没人看。我们言归正传,继续说灰鸽子的事。随着“灰鸽子2007”的发布,当年仅3月1日至13日,金山毒霸截获的灰鸽子变种数就达到521个。盗号、偷窥、敲诈以及骇人听闻的公开“叫卖”,危害更甚于熊猫烧香。0 | o# P/ S) f# r( L
1 u+ s3 r7 F* _% ?
: K, H2 X, a, }" N小白:这群人简直太可恶了!' Y/ A" N3 {0 [3 s$ q7 K) r" L9 m) \
2 g" |* U) R6 u
; e# C6 U$ f( d8 w9 i" O大东:而且灰鸽子已不再是一个单纯的病毒,其背后是一条制造病毒、贩卖病毒、病毒培训为一体的黑色产业链,从某种意义上讲,灰鸽子的危害超出熊猫烧香10倍!
. Y, q! k3 R: b) K
- p5 g8 L6 }. Y- X# s1 p7 m% I$ @+ s8 w7 I, M' r# C0 f" N
灰鸽子产业链示意图。图片来源于网络
% q, {0 g5 P+ D* @. h2 U
8 R$ x/ Y- I- t* A8 p小白:东哥,那我们就拿灰鸽子一点办法都没有吗?
# B: {. ^ K9 O! U l: Z- j& x }0 G8 ]; [" x8 T
' K9 T4 |& Q; A4 X8 Y0 ^, A P
大东:灰鸽子虽然强大,但它并不是完美无缺的。让我为你解析一下这个难缠的病毒。3 W4 C- T. I/ {3 f. S; U/ Q5 x
+ `6 S! M+ U; y2 o( `2 [2 y二、灰鸽子病毒发展史7 c9 x- }" {) |, v9 U4 ]
4 z {% l$ n( {, }; t
+ B$ d; A) @4 E1 W
大东:先来说说灰鸽子病毒的发展史吧。
. X( z$ Q7 s d8 o
; q7 _% G2 Y. a7 M" C- f3 X
2 r8 [5 b+ j4 {, n( r6 N; U小白:好呀,我最喜欢听历史了。
6 T$ R4 ?1 `* n( t# d3 q
/ j$ ?, w9 F6 o, J' }- _9 \4 t8 N6 w- h6 M% \7 z3 B8 R
大东:灰鸽子病毒发展分三个时期:诞生期、模仿期、飞速发展期。7 B1 i1 r, e% C N
* g- ]: I j; k
4 h1 m% a3 M* j3 Z8 o小白:先说说诞生期吧。
" ^ F( ~- ?4 a7 Z8 o7 H" O3 h& I4 V- m& @( s: N
) x2 l4 q1 V7 a; S
大东:诞生期自2001年,灰鸽子诞生之日起,就被反病毒专业人士判定为最具危险性的后门程序,并引发安全领域的高度关注。2004年、2005年、2006年,灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒,灰鸽子也因此声名大噪,逐步成为媒体以及网民关注的焦点。
; ^4 C/ |3 e+ j
8 k6 Q) u6 R% ?% S+ H7 Y4 ^+ R2 B. d- M, g! @
小白:最具危险性的后门程序,听上去很厉害嘛。( c8 ~" m: i. h2 k" f
) R# f) m: H3 C7 y) x- G
* D5 a1 M) A3 r5 p& [& F! n( P
大东:模仿时期,灰鸽子最早出现的时候是在模仿“冰河”。它采用Delphi编写,采用了源码共享的方式出现在互联网。虽然“灰鸽子”在当时的名气不及“冰河”,但由于开放源码的方式让“灰鸽子”逐渐增大了传播量。
! v$ z; l( [! \; N2 `2 e9 g9 C4 Z7 h
B1 P3 o$ N% z3 J小白:这么说来冰河是灰鸽子的“前辈”啦!那冰河也是远程控制软件吗?0 ~4 w6 p/ R4 l% Q" z
& i" G. C1 ~( F* r; A$ _4 P/ g
6 M% g& k3 k# \- x
大东:是的。冰河的可怕之处在于自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入、记录各种口令信息。还包括获取系统信息,例如计算机名、注册公司、当前用户等多项系统数据。远程关机、远程重启计算机、锁定鼠标及锁定注册表等多项功能限制也是他的拿手强项。8 Q' s/ Q4 v, ?" v, R/ v
* T9 J, W7 U3 a
* G" j' O% [' _小白:说远了,该说灰鸽子病毒飞速发展时期了。0 i3 o8 \9 V2 Y4 i% r
) @# P/ M4 ~, B6 m* |
* Y8 u e" U8 S; ^$ k# d6 k; e大东:2004和2005这两年之间,灰鸽子逐步进入了成熟的状态,由于源码的释放,大量变种在互联网中衍生。2004年灰鸽子总共发现了1000多变种,而在2005年,这个数字迅速上升到了3000多。2 d4 ~( `) L/ Z, O
8 G" a+ ?# s' _9 h# u
# b9 ^& Q% i/ P2 m: P: S# r6 f
小白:变种也太快了吧?!
7 w2 e+ t8 m; l# B+ m) o% o& L5 x7 j( u3 y" J' J2 J5 {
" T+ [# ^8 ~1 Y# o0 g; N大东:“灰鸽子”最大的危害在于潜伏在用户系统中,由于其使用的“反弹端口”原理,一些在局域网(企业网)中的用户也受到了“灰鸽子”的侵害,使得受害用户数大大提高。2004年的感染统计为103483人,而到2005年数字攀升到890321人。“灰鸽子”本身所具备的键盘记录、屏幕捕捉、文件上传下载和运行、摄像头控制等功能,将使用户没任何隐私可言,更可怕的是服务端高度隐藏自己,使受害者无从得知感染此病毒。
. S& k1 S H4 H' J( v
: ]7 \/ A/ ] P7 v+ ^# {0 q& g
& B8 S& g% W e$ F4 e7 T8 r9 b$ B: s小白:令人害怕!0 ?& W0 A3 G, [6 r" ^' Q$ d9 `
( M4 |, G W$ n; S, s三、灰鸽子病毒清除办法4 p" i$ \6 c6 ~6 f0 [1 H9 j, |
+ ~* [ T7 I- J& r, Q
. W! N5 z! `2 R9 d/ S! W大东: 但是利用一些检测方法就可以将灰鸽子揪出来。通过研究发现,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子服务端。
7 |3 }# J( R# D0 Q
1 ~$ _- Y1 Q1 V, _
, f1 t/ U o/ U; d Z. {小白:那是把“_hook.dll”结尾的文件删掉就可以吗?: E& i4 Y" }+ U3 q" I5 _
( q9 ^$ G! v- i8 X1 L; a
) T% s! ^6 i# J4 j大东:当然不是那么简单。由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行,而且要把Windows设置成显示所有文件。并打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。经过搜索,在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。
- k3 p6 s$ c% |4 e% `# s' N# X# g
! v- x- {: L: _9 K R" N; c
1 n, O+ T- g! n5 t; @3 w, K, S/ s小白:这就是灰鸽子文件了吧!" \% m, `( z' g. m6 T8 r
* m6 C* y( _% s
) W& |* b4 _9 w& q- k- o2 T
大东:还不能确定。如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。这才是真正的灰鸽子的服务端,不能“冤枉”好人啊!
9 n7 S' j0 J! O0 F" s% M5 [7 b* i) ^ / e& j6 \1 g# D! J' G5 }$ a o
' n' N5 O V# f2 N. }Game.exe和Game.dll。图片来源于网络
# n) j& Y9 U' p$ S# f7 R8 m( u0 n9 Q' |& ^' `* ^' \9 }0 a
4 y- _( n- b2 G) r/ U" r+ k& M
小白:原来是在这样。把这几个文件删除就可以和灰鸽子病毒say goodbye了吧!
1 C# U& s( W( V5 I
) \7 B( V' E4 L1 i6 d8 C' k3 z8 `
大东:总共有两步,这只是其中的一步。首先清除灰鸽子的服务,注意一定要在注册表里完成。清除灰鸽子的服务一定要先备份注册表,或者到纯DOS下将注册表文件更名,然后再去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联。, x9 V" Z) F, a8 h A3 d1 I
4 w! d$ o7 o0 Z( _7 [
, Q/ f% y; C/ E% x" _小白:东哥,具体应该怎么做啊?教教我呗。
5 }: ^5 v+ }) \0 K
% ]- \5 u" } x& a8 R' B; w; u4 r, e6 c0 y4 s$ @
大东:第一步打开注册表编辑器(点击“开始”- “运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。第二步点击菜单“编辑” “查找”—“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server,每个人这个服务项名称是不同的)。第三步删除整个Game_Server项。/ r# @2 w2 D" S
. J( F% }: h( u; }+ i* b& W6 C
|& W9 I( @" n5 _% ~5 O' t
查找game.exe。图片来源于网络
0 E/ G& t8 J" }0 D3 M2 M% d/ y, |/ T4 t
小白:这其中的第二步是不是就是我刚才说的删除Game.exe和Game.dll。
. s2 Q3 V' Y5 {1 _! A, t6 U$ \+ H+ A9 z& K3 f1 r! ^
7 a7 c' J4 {$ Z! V5 i5 w2 ~! K大东:bingo!你只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机,就彻底告别灰鸽子病毒了。! |( t! b1 B0 z0 J: Q0 m6 V" o" h
% @( E/ a P( {# d( x0 o4 j四、防范措施
7 Q$ m9 |0 q) M: g7 I7 P4 y: g4 J: C/ [. i! ?, H. q% e& |# z
小白:东哥,那该如何防范灰鸽子这类病毒呢?; U |6 l) J7 \& ^+ o" V: g9 t
: \% T7 V; l' E& `$ K- S( y2 K- J4 S3 B7 Z$ W m
大东:有些办法虽然有些原始,但总是最好用的。比如说给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack)。
* H6 O8 M" C* i( W9 ]9 H" ]5 q) G* { r% p
3 o2 K2 z7 A+ |4 q% R: N4 ^
小白:东哥,我们老说打补丁,补丁的专业解释是什么呀?我们为什么要定期打补丁呢?1 J, s4 C6 M% c
4 {' V! U# U3 c
- z+ {& c5 c' [4 H4 o9 A大东:补丁就是操作系统的不定期错误漏洞修复程序。一般在开发过程中,一开始有很多因素是没有考虑到的,但是随着时间的推移,存在的漏洞问题会慢慢被发现。这时候,为了对系统本身存在的漏洞问题进行修复,系统开发者会发布相应的补丁。黑客如果利用这些漏洞,就可以得到计算机的控制权。+ R- n- P0 A& f
7 m0 l# _& b+ D
' K0 B3 H2 f* n2 Q. v( W/ z1 u
小白:东哥,还有类似的“原始”方法吗?+ P3 C; [2 n* D( A; |) _
7 L. ~: [& `8 }. i c/ A0 C) b/ _ Z1 o* _
6 j" m9 V# A% u5 l- t
- S6 A4 Y# Y3 `/ X3 W% @' U
4 t6 f. B0 P" r0 c大东:给系统管理员帐户设置足够复杂足够强壮的密码,最好能是10位以上,字母+数字+其它符号的组合;也可以禁用/删除一些不使用的帐户。如果记忆力够好,经常改变密码也是也是个不错的选择。
8 t* T2 v( p6 `/ ?. T7 n0 t5 o" Z L `% m
: L" o* |/ f6 M5 j小白:对,比如说我就经常换密码。
; |0 H3 @$ Q1 z6 h, d0 ? s+ H/ H! Y) m- p4 ~% L1 F4 N: j
7 t& B- O5 t: Q8 @大东:哎,不过你也总是忘记密码。不过单纯地讲,换密码这个习惯还是不错的。
1 _) X7 p- k" @+ d! u ?7 [: G4 e1 e
4 N& {( N2 a6 B* }; T7 L/ F4 s/ D
小白:东哥,你总揭我老底,就不能给我留点面子嘛?0 [' z) v8 p% }' v$ Y* B
' o7 F# m. R# I$ H- X! u
6 h! @9 T/ h, U
大东:(装作听不见的样子) 嗯,我们继续说防范的方法。经常更新杀毒软件(病毒库),安装并合理使用网络防火墙软件是十分必要的。网络防火墙在防病毒过程中起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。
! G; q" Q- B$ _3 a3 _7 x' y& }; W% m$ V. y# v- D$ R
: f" s$ w8 V) F* ?小白:东哥,还有吗?
5 p, Y! L& [5 c. H
/ u9 N% L {0 s' V& z
9 m* G K7 n7 M4 M+ X! L大东:关闭一些不需要的服务,条件允许的话可以关闭没有必要的共享,也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。: J- } m" Y& h( k G* `8 s- Z
3 A5 a6 \* `% o' W; A
0 ~2 C. e$ L& @
小白:懂了。东哥,通过你刚才的讲解,我回忆起来了许多东西。
- K6 ]7 @* z! W2 w9 ?& N& z1 k _! u
" m) Y5 M" `+ l大东:温故而知新嘛!" Q2 n# N+ V/ ~7 J/ R5 R: [
* q2 @+ X, L& Q# s; g& x* }& S' {3 z& N: I, a- }1 h, B7 G% @
来源:中国科学院计算技术研究所
' ^0 V, O! I4 B0 ~# n8 v2 m" k) _8 ^- v% `8 E. B( @4 J9 ?
0 A1 C1 \) P5 x5 Q温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」
) t" U. ]! e* A# Z0 [ i: ]! c- H2 s9 V2 G
4 y# b) `5 `2 M6 H
) X4 s V1 M2 P# e: m) x
4 F; k9 U, s i 0 M0 p) r- l; M' H* w0 s1 ?
2 `" x7 J0 w, }: g
来源:http://mp.weixin.qq.com/s?src=11×tamp=1574510402&ver=1992&signature=Tvxe-dv0Pli2WOy8jx6-Hw7rnv9HYpasycZdOiA27ix8cPjxnROs0K1kkvdUU-4qOv15U3svsKSNcI-QAj5BtJGG0rX5r4iFdLPgzGOu9EXoWlxVCaXxE1chtktOJjK2&new=1& c% ~- M9 [0 z. Y
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-11-23 20:40:29
