|
|
一、灰鸽子病毒事件
) h8 M) |3 s' `" Z' X
/ U! k1 u* m# B o+ D
7 M# p8 q6 U; h; M5 b6 p k小白:东哥,我最近弄了个新鲜的东西,可以远程控制我家的家电,例如空调,电视,冰箱……
$ z3 F" Q! H9 r3 H( \, B5 s4 I2 o: Z- i. v% |0 q
) Q/ ?9 c2 ~ a$ G/ {
大东:嗯,这个不错!
# E" c2 I" B& F; h* [2 U2 J& w# i $ z6 U# [; ^ Z! |) \5 G- g
- E9 P5 d' j) g1 \9 a
手机远程控制空调。图片来源于网络
1 k7 M! b6 u) V2 a3 V0 s4 k( K3 @. t$ }+ O! ]4 y
, ]8 g% \0 L- [+ t小白: 是啊,最便捷的是有手机、有WIFI就可以实现远程控制功能。) Z# G1 \, q6 Y y
. E; ?3 C- K* v3 y* C( G7 Q
2 m+ O1 s, L c
大东:等一下,便捷中往往隐藏着“邪恶”,你可要小心灰鸽子病毒啊!7 {% w' \+ J" c) X
q1 u v8 h7 i, q
, b4 |1 y9 B) X2 i6 p9 d" q8 {
小白:灰鸽子病毒?* n a4 j0 W2 X2 U: s5 e1 ~5 |4 g
3 h% x; l+ B' z5 W @6 o7 J
& p5 t- L0 c9 J3 P2 ]. Q大东:是的。灰鸽子本身是一款远程控制软件,但是因为恶意使用,又被认为是一个集多种控制方法于一体的木马病毒,一旦用户电脑不幸感染,可以说用户的一举一动都在黑客的监控之下,要窃取账号、密码、照片、重要文件都轻而易举。
J' r2 Z0 N; j, K0 e3 j7 a' J, a# x! w% Y/ U
0 D7 N/ K- S$ |3 r8 e( ?
小白:我的天啊,那我的隐私岂不是完全暴露在大家的面前了?!
( U$ x3 R# d* ?1 O; r k0 |# ]. W5 w
+ B: H5 w* B: r) }9 n, t4 u- }' k0 |, d5 _; R) N. L' I7 [
大东:不仅如此,他们还可以连续捕获远程电脑屏幕,还能监控被控电脑上的摄像头,自动开机(不开显示器)并利用摄像头进行录像。
3 `4 v# T2 U, b0 v) N
4 C& ]. _) Y, Q& k5 ?/ K8 T( U [0 j& U4 F' q
小白:简直是太可怕了!假如我没洗头、没洗脸、穿着邋遢衣服的样子被拍了下来,上传到网上的话……, L* y i6 ]2 f3 ]
, T5 h# M9 P8 \) D
( B1 d7 x7 @3 S0 D) b' ~) \
* O0 L2 L/ _% e" I5 I( G- ~: T' z+ K @ F$ G u, f( S. C% q8 |
大东:emmmmm……你这个颜值估计上传了也没人看。我们言归正传,继续说灰鸽子的事。随着“灰鸽子2007”的发布,当年仅3月1日至13日,金山毒霸截获的灰鸽子变种数就达到521个。盗号、偷窥、敲诈以及骇人听闻的公开“叫卖”,危害更甚于熊猫烧香。
" Y. w) ?1 L& m0 {
0 Z& `" y9 q6 }6 t* R
( @ s' ]# T; L! ]" W# {9 G2 x, R6 w小白:这群人简直太可恶了!
/ h/ S2 T# _* t0 I% {, c: O
0 t V3 P6 j$ c% J4 c7 k
3 O# A7 Y l1 n% i大东:而且灰鸽子已不再是一个单纯的病毒,其背后是一条制造病毒、贩卖病毒、病毒培训为一体的黑色产业链,从某种意义上讲,灰鸽子的危害超出熊猫烧香10倍!
G) I9 S" V9 W/ Q+ b1 Y7 W L' ~9 c0 S* L
6 r% U3 l( \2 z4 y
灰鸽子产业链示意图。图片来源于网络 # ^) l6 h: _6 H7 l# p U( F
. O: |, q- O! X7 T小白:东哥,那我们就拿灰鸽子一点办法都没有吗?# q ], n* f3 V; J
% M# q I6 U" Q( X- D1 I: @9 j) A; x0 B, H
大东:灰鸽子虽然强大,但它并不是完美无缺的。让我为你解析一下这个难缠的病毒。
9 m& R5 j! r" h+ \& O + x- F: ~3 g7 ^+ @8 v0 {* |
二、灰鸽子病毒发展史) E3 n: W* X: i3 m' e( [
2 ~" I: h: N0 T+ k: u- M9 t
* J+ t/ r. O* w) E* W3 Q( ~$ k8 I$ V
大东:先来说说灰鸽子病毒的发展史吧。( _+ m$ i3 A9 F. \$ o* E
4 J6 |7 } R$ [# Q$ V+ g
" t5 v9 x0 J" J9 e! q* ^小白:好呀,我最喜欢听历史了。
3 n& l& Z5 y8 T3 q2 C
; t) _) {4 u( X7 j9 i V, p$ W+ c# A. t
大东:灰鸽子病毒发展分三个时期:诞生期、模仿期、飞速发展期。9 N7 g" ~! A6 n6 D% O8 {
. s6 z: D) c9 e. n1 f3 q" S
* r/ B8 T6 ^/ q
小白:先说说诞生期吧。
h/ ^4 }. |$ i, }6 g u3 u& @* h7 x. W
9 [& o7 G! g6 o2 Q2 [
大东:诞生期自2001年,灰鸽子诞生之日起,就被反病毒专业人士判定为最具危险性的后门程序,并引发安全领域的高度关注。2004年、2005年、2006年,灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒,灰鸽子也因此声名大噪,逐步成为媒体以及网民关注的焦点。
& k9 V0 r1 _ _& }0 W. A
' Q9 s( h/ I0 t7 L9 d8 S$ P0 [6 R6 \. Q( L G
小白:最具危险性的后门程序,听上去很厉害嘛。6 y. l( z1 z2 _2 X
- m p1 c0 |0 \2 E7 w
5 G$ S" {6 {7 k3 K% R大东:模仿时期,灰鸽子最早出现的时候是在模仿“冰河”。它采用Delphi编写,采用了源码共享的方式出现在互联网。虽然“灰鸽子”在当时的名气不及“冰河”,但由于开放源码的方式让“灰鸽子”逐渐增大了传播量。+ x% g3 n* @9 v
$ ~( I* w& v4 H. x3 f0 M, C- _/ n1 ]# v9 h
小白:这么说来冰河是灰鸽子的“前辈”啦!那冰河也是远程控制软件吗?
8 \" s" T% N, q* ~% b1 n
) Q- m! e, u3 [5 u: @3 l& R p+ a n6 w/ j7 ?
大东:是的。冰河的可怕之处在于自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入、记录各种口令信息。还包括获取系统信息,例如计算机名、注册公司、当前用户等多项系统数据。远程关机、远程重启计算机、锁定鼠标及锁定注册表等多项功能限制也是他的拿手强项。4 ?! I+ X O. N! `7 T6 h
5 v$ C3 M7 S6 \, w* [4 }6 Y( `4 h; L$ p0 U! I( \/ b `
小白:说远了,该说灰鸽子病毒飞速发展时期了。
( G% r9 @0 V+ r2 o. { d c i0 H1 y+ [. ?
) u( F/ { d; N @8 f( n/ e大东:2004和2005这两年之间,灰鸽子逐步进入了成熟的状态,由于源码的释放,大量变种在互联网中衍生。2004年灰鸽子总共发现了1000多变种,而在2005年,这个数字迅速上升到了3000多。
! n+ y u% f& A; V1 T# j3 V
; x4 d# r; Q; e/ B$ p0 Z! D1 S4 s- @& E4 c2 X
小白:变种也太快了吧?!: P! R- r, N* v& ?; O
4 @# e& n2 D: g& R7 [
9 t! @# Z5 T' D4 G5 g& |# h大东:“灰鸽子”最大的危害在于潜伏在用户系统中,由于其使用的“反弹端口”原理,一些在局域网(企业网)中的用户也受到了“灰鸽子”的侵害,使得受害用户数大大提高。2004年的感染统计为103483人,而到2005年数字攀升到890321人。“灰鸽子”本身所具备的键盘记录、屏幕捕捉、文件上传下载和运行、摄像头控制等功能,将使用户没任何隐私可言,更可怕的是服务端高度隐藏自己,使受害者无从得知感染此病毒。% b+ w$ t% v+ m
* A: V i y% }$ e$ }1 Q2 ~ J; i8 A u% T6 d
小白:令人害怕!# e0 j+ ]2 ~. _/ I" ^% B2 K' a
6 W4 v& I+ n1 s5 H
三、灰鸽子病毒清除办法
# E- z# C1 s! r+ T4 ]( P' u* w" n5 b) f9 S
2 o9 m0 o6 s& S0 j5 f) S大东: 但是利用一些检测方法就可以将灰鸽子揪出来。通过研究发现,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子服务端。5 i# x4 A r+ S/ |5 s
+ R* G% Q O# r* T( T
8 O# V2 F! u0 f& H( T9 N小白:那是把“_hook.dll”结尾的文件删掉就可以吗?) i( g$ K5 E, I0 A c2 n: X
) i$ _- v2 ~0 T0 }; h6 {
$ w0 y: G: }' E$ b0 b+ A大东:当然不是那么简单。由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行,而且要把Windows设置成显示所有文件。并打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。经过搜索,在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。) Q" a( Z1 |) s: E/ e
& X" V# s1 H" y7 G5 k- W
$ Y) b1 P( p% A! x* {小白:这就是灰鸽子文件了吧!, |, }5 g( \, l% o7 b" O3 O1 z
6 C" Z& d1 g" x3 E. N) c
# ]0 c$ @) ^6 a4 e8 X5 }" i* L
大东:还不能确定。如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。这才是真正的灰鸽子的服务端,不能“冤枉”好人啊!
6 u; n! z) X" ~- }3 N& {
7 D: ~5 t4 p2 X! f3 Y/ s( e. H7 [8 J" d
Game.exe和Game.dll。图片来源于网络
7 n8 K* c: H; x" j' D$ f% k3 ~
. j6 M4 b" q4 R# N# W( [1 r* Z2 M* b# {6 u1 l' f
小白:原来是在这样。把这几个文件删除就可以和灰鸽子病毒say goodbye了吧!
1 @6 }6 `' U8 v/ F. K- K
( v7 d f: W& ~% m% G- t" t4 p$ {" w* ^( j- a
大东:总共有两步,这只是其中的一步。首先清除灰鸽子的服务,注意一定要在注册表里完成。清除灰鸽子的服务一定要先备份注册表,或者到纯DOS下将注册表文件更名,然后再去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联。# {( i/ O6 U8 c2 x4 h
) c9 c% P" p& d
; \8 I/ L6 w" `& @/ b* G
小白:东哥,具体应该怎么做啊?教教我呗。
8 ~; `+ s; Y+ Z8 P( g/ p. Q1 {; h1 Q7 X
' F4 |& {: o. B: i大东:第一步打开注册表编辑器(点击“开始”- “运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。第二步点击菜单“编辑” “查找”—“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server,每个人这个服务项名称是不同的)。第三步删除整个Game_Server项。! G& x, h' U/ L4 Q
' M4 g+ F1 t/ t: O+ ]% r. V4 E3 b+ r3 w' n2 Z/ L V
查找game.exe。图片来源于网络 & |# {9 y, q) M- v8 C" b* E
$ ]) ~3 T% `! b. r# h- l* V小白:这其中的第二步是不是就是我刚才说的删除Game.exe和Game.dll。
9 J: _4 B! w3 ]6 d: J$ Z
) [/ F7 K, y1 E/ H# V% i
; `: H$ R4 \ u7 o+ v+ g大东:bingo!你只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机,就彻底告别灰鸽子病毒了。7 H. r: W9 L' w0 R- n9 i7 N
0 g( w9 Y4 i" l" }- x5 c四、防范措施7 Z" S2 }6 F- G0 V6 M/ m1 y [
9 q( ~3 }2 p9 F7 y. u/ b" |
小白:东哥,那该如何防范灰鸽子这类病毒呢?
1 K: y; l3 K" v. t, u/ t+ c9 l h3 \7 X% }
, `' c( {0 S( v/ e! S1 M大东:有些办法虽然有些原始,但总是最好用的。比如说给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack)。
, a4 G# \6 s k7 G1 @% \6 }' s$ w1 g; S% r+ _/ ?! [9 ?# _+ B1 U
: G0 M2 S3 A& n9 m3 ~8 m2 T小白:东哥,我们老说打补丁,补丁的专业解释是什么呀?我们为什么要定期打补丁呢?, b$ _; g# @" S
6 G1 \( J6 v4 w& v
: }, Q1 {. m8 S大东:补丁就是操作系统的不定期错误漏洞修复程序。一般在开发过程中,一开始有很多因素是没有考虑到的,但是随着时间的推移,存在的漏洞问题会慢慢被发现。这时候,为了对系统本身存在的漏洞问题进行修复,系统开发者会发布相应的补丁。黑客如果利用这些漏洞,就可以得到计算机的控制权。4 y9 O9 I% g0 r- [9 U
9 A# b+ a+ ], [0 G' F
) `% {8 J1 Z+ D r8 V
小白:东哥,还有类似的“原始”方法吗?/ Q/ ^' I7 {. h! Y3 p
1 L* a/ B$ ?' q3 m. }* Z7 ?: k9 [5 [2 ?7 ?
8 b/ N- }% z1 U; ^
% f8 o! [, Z8 l4 X
大东:给系统管理员帐户设置足够复杂足够强壮的密码,最好能是10位以上,字母+数字+其它符号的组合;也可以禁用/删除一些不使用的帐户。如果记忆力够好,经常改变密码也是也是个不错的选择。
4 X0 f& `# P# C
: n7 e3 m9 [1 u' _8 m4 k$ c9 J/ R7 b: P% p
/ T# ]! E+ v" t! g; v( t0 I0 S小白:对,比如说我就经常换密码。; \/ V, P# z6 g1 l4 [
6 ^& z* b& U; Q8 V; T' S
, q) O6 H& M( g4 a: R
大东:哎,不过你也总是忘记密码。不过单纯地讲,换密码这个习惯还是不错的。
" P, K6 z: ^- N _
9 L9 T) u. h- C) c0 \* @
( [' M9 g+ T' W小白:东哥,你总揭我老底,就不能给我留点面子嘛?
% a0 u( X( J0 v- h3 X; U8 b; E6 L2 [7 w4 X: l1 c* H
9 a. @) ^% @5 ~5 k2 u大东:(装作听不见的样子) 嗯,我们继续说防范的方法。经常更新杀毒软件(病毒库),安装并合理使用网络防火墙软件是十分必要的。网络防火墙在防病毒过程中起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。$ s1 @6 f; A# _2 Z. m& y, k
% D8 w2 ^+ p9 ~+ p2 r3 U
( [( d" [* r3 G0 o' N5 g5 G& W小白:东哥,还有吗?8 f' ^% o$ W7 W1 [) Z/ h' X
$ g" Q, R2 e' |" q$ C. \
- Q! n' @( F# f) H* N% K大东:关闭一些不需要的服务,条件允许的话可以关闭没有必要的共享,也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。
) O7 b3 O$ {0 R! n7 r( Y
- Y. g- ]% {1 M b" d e; d U2 A2 Q, j2 Q
小白:懂了。东哥,通过你刚才的讲解,我回忆起来了许多东西。3 n0 j: J2 x, k$ ~* ^8 s! h
0 j3 J% g% K# m+ [ R
' I+ _. F9 M' W$ h% Y- P
大东:温故而知新嘛!
0 m# |& _, V) G. e" x8 ^9 F: ?; n
5 w" ^" z# O- [% {0 C$ [
来源:中国科学院计算技术研究所+ j2 j1 g( ^' Y, _& m
0 Z5 y2 Q. J2 |/ `; _2 t
( t: V: H4 _3 N温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」
6 {7 h6 y, l+ z) S$ ] J9 h( @( Y$ K
$ {- z$ K+ }6 ]$ S4 }; C1 Y6 E. H, |& t9 G2 w( q5 z: [1 C
: u. H( q! N8 \9 G
: q! A/ P( |8 h: S0 K
 ) t# C$ K0 }7 X/ X+ T
1 P; \ G/ z& @* l7 z+ t& ^来源:http://mp.weixin.qq.com/s?src=11×tamp=1574510402&ver=1992&signature=Tvxe-dv0Pli2WOy8jx6-Hw7rnv9HYpasycZdOiA27ix8cPjxnROs0K1kkvdUU-4qOv15U3svsKSNcI-QAj5BtJGG0rX5r4iFdLPgzGOu9EXoWlxVCaXxE1chtktOJjK2&new=1% T" Z' J* y' A O/ ~" F4 H
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-11-23 20:40:29
