|
|
一、灰鸽子病毒事件* C! U9 K" I6 f
a6 Z+ a) ]. k3 }: Z# B
% {6 G3 H$ A; ^: d' e' Q1 B小白:东哥,我最近弄了个新鲜的东西,可以远程控制我家的家电,例如空调,电视,冰箱……8 x% o3 G3 d h$ s0 L1 i
9 c+ h* B ?: c
4 {7 Q7 s ]7 L1 |$ ^大东:嗯,这个不错!# H9 [4 @5 H( J( S+ u. l3 N
+ C* u" ^- B, B
% a3 V# A! b; M5 D
手机远程控制空调。图片来源于网络 7 ]+ h1 o- A% m$ _/ J
* t0 L3 V% {" M" ?4 e; U/ c
- z s9 T Q8 i( i# y$ l0 ?小白: 是啊,最便捷的是有手机、有WIFI就可以实现远程控制功能。, F" |- h( f9 W2 @
; b4 C6 E0 j. H3 D8 t( c. O+ g. ]$ `
大东:等一下,便捷中往往隐藏着“邪恶”,你可要小心灰鸽子病毒啊!$ s5 K! ^2 O% R$ c
1 {) k$ a, ]% n
" s+ Y$ l0 y# J/ {小白:灰鸽子病毒?
, ~. j4 I3 [2 R8 y$ F: U, ~. Y* t- u' b2 p7 t0 K3 h. S# @3 K
% U/ a- n. F& N$ R7 ~ ^' r& ?( y- _
大东:是的。灰鸽子本身是一款远程控制软件,但是因为恶意使用,又被认为是一个集多种控制方法于一体的木马病毒,一旦用户电脑不幸感染,可以说用户的一举一动都在黑客的监控之下,要窃取账号、密码、照片、重要文件都轻而易举。
9 |6 H+ V6 G; e
2 T, B s! p; } U/ j* n' i8 x2 Q* @! [* ~1 B2 z% H
小白:我的天啊,那我的隐私岂不是完全暴露在大家的面前了?!& p F( \4 s" I, ~: [3 \
- a0 q* ~1 L. b/ x, o4 `; Z
4 S' o* k# _( B
大东:不仅如此,他们还可以连续捕获远程电脑屏幕,还能监控被控电脑上的摄像头,自动开机(不开显示器)并利用摄像头进行录像。
$ m8 c8 Q( E, r5 K- s8 j0 m4 x- ?( V
. s2 q5 u( N3 N3 q6 b小白:简直是太可怕了!假如我没洗头、没洗脸、穿着邋遢衣服的样子被拍了下来,上传到网上的话……
- T p! X* e: C2 { * G7 W/ s# M! q: b
- D" u3 B/ s [% z" F
: d, j. d6 Q0 k/ j& J2 e" r0 r3 g+ J# N4 l( m' A
大东:emmmmm……你这个颜值估计上传了也没人看。我们言归正传,继续说灰鸽子的事。随着“灰鸽子2007”的发布,当年仅3月1日至13日,金山毒霸截获的灰鸽子变种数就达到521个。盗号、偷窥、敲诈以及骇人听闻的公开“叫卖”,危害更甚于熊猫烧香。. z& M. u0 u2 `- P' l
* R9 T9 b3 O9 c; s) V6 [% a2 L% d. `: G. i) C) L- P
小白:这群人简直太可恶了!/ Z' V8 f r8 ]
5 k" j3 T4 Q. y* Q
8 {+ t# c4 y& O$ o8 Q9 {8 z7 `% H大东:而且灰鸽子已不再是一个单纯的病毒,其背后是一条制造病毒、贩卖病毒、病毒培训为一体的黑色产业链,从某种意义上讲,灰鸽子的危害超出熊猫烧香10倍! I# x% G3 ?9 L% M% O" ?4 ^3 y4 _3 N
9 Q9 e- }& ^0 G
}+ E) D2 c/ ?0 ]4 E灰鸽子产业链示意图。图片来源于网络
9 C5 K: T5 T4 t
- m+ f, ~$ L/ w+ g. v" j! g/ n小白:东哥,那我们就拿灰鸽子一点办法都没有吗?& [1 L+ G$ d; g! a! C) c
3 j7 l- w4 q3 e6 @
' m9 Q3 y G( \/ m大东:灰鸽子虽然强大,但它并不是完美无缺的。让我为你解析一下这个难缠的病毒。7 Z- G7 q: g0 d1 |1 B
?+ u- Y- n* H e) W8 J5 m& s- S) W
二、灰鸽子病毒发展史
6 V4 z: g4 a1 \/ O* e o
: G8 |) k/ f# T, r+ V" Y7 z
/ \+ n. j$ J0 Z1 Z" S1 [* X大东:先来说说灰鸽子病毒的发展史吧。. d8 x: x4 Z- c5 P j1 \$ E! l$ A ], n
4 l$ G3 Y' N/ N
, l& x' I& s$ }6 {6 G7 A小白:好呀,我最喜欢听历史了。& G& P' p: `* y/ Q* e6 v2 P
! p% t' Z6 f# x# Z; V. @6 O
) ?* a( ]5 D( Z; P0 Q/ G4 X& Y9 t
大东:灰鸽子病毒发展分三个时期:诞生期、模仿期、飞速发展期。
* y) N9 L2 K A- m4 {% J. ~7 b) R! d3 |2 [+ q, Z
! v% X8 a. Z; T# h
小白:先说说诞生期吧。
7 m, {! g( c& E) g' D5 q
# ~% @! w+ j ]( m" L5 ]& n ]: i6 h+ A1 K2 o
大东:诞生期自2001年,灰鸽子诞生之日起,就被反病毒专业人士判定为最具危险性的后门程序,并引发安全领域的高度关注。2004年、2005年、2006年,灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒,灰鸽子也因此声名大噪,逐步成为媒体以及网民关注的焦点。
& h& u, u; B+ j- w$ z! h0 G/ D* y: N7 k z9 y
5 s) a8 p$ \9 ]9 [2 c4 u5 I小白:最具危险性的后门程序,听上去很厉害嘛。
6 g) o% p; i6 k
8 C! a5 L- L: v3 W1 X! a
0 J1 f6 f0 h5 {/ J" C大东:模仿时期,灰鸽子最早出现的时候是在模仿“冰河”。它采用Delphi编写,采用了源码共享的方式出现在互联网。虽然“灰鸽子”在当时的名气不及“冰河”,但由于开放源码的方式让“灰鸽子”逐渐增大了传播量。
; {/ Y" t! T) n* r; h3 c. ?! m# p, p+ k; J2 s
5 J1 H! ^4 {8 M小白:这么说来冰河是灰鸽子的“前辈”啦!那冰河也是远程控制软件吗?
& g" T* E' M) T5 ^6 J1 S: s$ ~$ b: Y( j6 l/ i+ V3 |% v2 {3 V3 ^
% X# w$ `: x# M; W3 P1 E* A大东:是的。冰河的可怕之处在于自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入、记录各种口令信息。还包括获取系统信息,例如计算机名、注册公司、当前用户等多项系统数据。远程关机、远程重启计算机、锁定鼠标及锁定注册表等多项功能限制也是他的拿手强项。 X3 S$ u* ]4 }3 J) G
_; X1 S* Q. \# }4 D# _5 `& i/ K
$ I' Y$ |7 b) i! H: s6 f& e0 E小白:说远了,该说灰鸽子病毒飞速发展时期了。
' S- m! U& x3 X8 t7 _/ X$ q) q% y1 s
, _" x5 ]( t$ `- p2 k" q
大东:2004和2005这两年之间,灰鸽子逐步进入了成熟的状态,由于源码的释放,大量变种在互联网中衍生。2004年灰鸽子总共发现了1000多变种,而在2005年,这个数字迅速上升到了3000多。% `3 }) q4 l6 Q( t7 w# h
0 M6 I4 p. l6 G8 d' K, D y& e8 x/ D! N7 k0 a# i
小白:变种也太快了吧?!! v6 T4 r* q% m9 h M
: s8 @# q# U/ A9 J; d7 v2 S
- m. M, E% {1 p+ h: k' z# s( K
大东:“灰鸽子”最大的危害在于潜伏在用户系统中,由于其使用的“反弹端口”原理,一些在局域网(企业网)中的用户也受到了“灰鸽子”的侵害,使得受害用户数大大提高。2004年的感染统计为103483人,而到2005年数字攀升到890321人。“灰鸽子”本身所具备的键盘记录、屏幕捕捉、文件上传下载和运行、摄像头控制等功能,将使用户没任何隐私可言,更可怕的是服务端高度隐藏自己,使受害者无从得知感染此病毒。6 z4 {3 H5 O5 }
3 z1 O9 \' b, F i: f
! t {; D5 [/ \1 i& v, D& h
小白:令人害怕!
3 x" S' y& f! b" u, u
1 {% e) G. W7 f& q1 [1 H" k: M三、灰鸽子病毒清除办法
2 P7 T( L) _* Z0 j6 z
! q0 Z3 {! l" r* l! X
' l! e8 y. s! h2 _; @+ U/ S大东: 但是利用一些检测方法就可以将灰鸽子揪出来。通过研究发现,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子服务端。
6 w5 j8 ^5 E$ g6 D1 y' S4 e1 ^" g& Y
4 j# E+ C- \% {
! [2 o5 O0 x6 i8 h9 Y# Z小白:那是把“_hook.dll”结尾的文件删掉就可以吗?7 l4 ^6 C4 d) T- K2 w9 p# [
- C% ~+ x5 |6 b8 o4 E
' s6 Q# C$ A" z大东:当然不是那么简单。由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行,而且要把Windows设置成显示所有文件。并打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。经过搜索,在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。$ _ C1 g p/ x: {; G: t. J- D
$ Q& e W5 z, F5 y* T- I9 {% m# Y
0 f7 ?$ g: o% A) {1 ~" y- A小白:这就是灰鸽子文件了吧!, a) r$ a$ j" z* k2 H
& g6 x8 K/ W2 C! P0 _1 ^7 @
. `7 C& J# Z1 S
大东:还不能确定。如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。这才是真正的灰鸽子的服务端,不能“冤枉”好人啊!
- z4 k5 X6 I; Y7 J 1 ?5 O5 o: c/ h7 P" E
" {/ K5 o6 g* w# P- {# mGame.exe和Game.dll。图片来源于网络
( l& \4 c4 q8 h
" T N% t6 t& K H4 u
0 t6 O5 q9 L$ g: j7 y小白:原来是在这样。把这几个文件删除就可以和灰鸽子病毒say goodbye了吧!
3 O( T8 a' ^! v5 ]# \8 i" i
& b9 v" | w8 m
! Q- s h: P3 @" m* _; r大东:总共有两步,这只是其中的一步。首先清除灰鸽子的服务,注意一定要在注册表里完成。清除灰鸽子的服务一定要先备份注册表,或者到纯DOS下将注册表文件更名,然后再去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联。: r& ~8 ^( s- s( i6 P: I
/ Q& Z: _& \: O7 I6 Z+ }0 ~2 x* v) O# y [1 J8 S( e0 Y. D
小白:东哥,具体应该怎么做啊?教教我呗。) q1 c& y; I& _) i5 ?
, w' x$ B: m- C
8 F0 ?2 _3 y3 E, C大东:第一步打开注册表编辑器(点击“开始”- “运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。第二步点击菜单“编辑” “查找”—“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server,每个人这个服务项名称是不同的)。第三步删除整个Game_Server项。# f. s; F# r5 i7 @1 r1 k2 c y
/ _4 l d/ ]1 z7 t7 S
6 r* A8 h, B' F" H
查找game.exe。图片来源于网络
0 H/ N+ h" o8 a2 s7 G8 ]! Y$ L* R5 K7 z# e" J
小白:这其中的第二步是不是就是我刚才说的删除Game.exe和Game.dll。
. O1 b) Q& V. B4 A
. A. U Q) F: ?1 \/ J/ P: o( v
大东:bingo!你只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机,就彻底告别灰鸽子病毒了。
- m) E' j: h0 v: h6 z1 C/ a* S
* C" c" E, X) B) ~4 I$ {四、防范措施
6 L: I8 [+ @' ?- W% L5 R0 D5 h( ]3 u8 j( V( r
小白:东哥,那该如何防范灰鸽子这类病毒呢?# y1 q' U/ f/ c; ~$ Z5 t4 a
# o3 r! ?: c: t5 O. F! Q1 g% ?
9 l0 s1 t/ {1 v. u+ f8 V2 H大东:有些办法虽然有些原始,但总是最好用的。比如说给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack)。
% v A, _7 Q: v% l6 y9 T, k
/ F- L/ J8 x8 z5 ^) L* S. ~9 n. @( D6 _# b& f w/ H5 F
小白:东哥,我们老说打补丁,补丁的专业解释是什么呀?我们为什么要定期打补丁呢?
/ x) }* L. q. z } ~5 L2 @4 |' }
9 G* C9 ^% x& K* z A" t* l% U' C: D% }
大东:补丁就是操作系统的不定期错误漏洞修复程序。一般在开发过程中,一开始有很多因素是没有考虑到的,但是随着时间的推移,存在的漏洞问题会慢慢被发现。这时候,为了对系统本身存在的漏洞问题进行修复,系统开发者会发布相应的补丁。黑客如果利用这些漏洞,就可以得到计算机的控制权。- C S8 G' r6 u' }1 h* g
1 {) G0 J% l* o# U* A% ^7 @( S f/ A
小白:东哥,还有类似的“原始”方法吗?
) J5 f3 T. E& M2 B6 g# m! L9 M
1 c- |* _- _1 ], L6 O0 s( L" S; t' z
9 ?1 o; Z& j ?& y$ X6 m
! @ H7 y1 }6 r2 Z( t9 H9 w# r+ j
大东:给系统管理员帐户设置足够复杂足够强壮的密码,最好能是10位以上,字母+数字+其它符号的组合;也可以禁用/删除一些不使用的帐户。如果记忆力够好,经常改变密码也是也是个不错的选择。
1 w2 p: K- J2 }$ k
3 J* c) ?6 s: s, F7 V {/ L) X# K4 h3 L3 Q
小白:对,比如说我就经常换密码。, O5 |0 w. V, x9 o& t& B& |& x
* ~: `# E$ O& R: G% r" J3 c7 t/ I! G. \: R2 p" _% H, M7 V
大东:哎,不过你也总是忘记密码。不过单纯地讲,换密码这个习惯还是不错的。1 u9 `1 |" i7 b7 h
9 z* a8 h( Z' [9 O! T. A
( G8 ^9 d* d: I( T
小白:东哥,你总揭我老底,就不能给我留点面子嘛?! h$ j0 X% { [9 [" d7 K* N
Z7 E8 c+ O- ]2 B# a5 \
. U" t6 N1 v. z
大东:(装作听不见的样子) 嗯,我们继续说防范的方法。经常更新杀毒软件(病毒库),安装并合理使用网络防火墙软件是十分必要的。网络防火墙在防病毒过程中起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。
2 ]2 |# j9 V$ F7 H/ j* e( ^/ [; a3 i: s, @
4 R0 I( c' Q9 Q- l Y9 |小白:东哥,还有吗?
* Z X C/ L" K5 @2 j/ a0 t# e8 [+ N0 q0 e# b
( w5 B) |7 D* B( _大东:关闭一些不需要的服务,条件允许的话可以关闭没有必要的共享,也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。
2 T, Y! n5 S' l: w# h8 ] w, h9 M
5 z2 T$ s, Z% G; X
小白:懂了。东哥,通过你刚才的讲解,我回忆起来了许多东西。
F- w( g2 Q2 M7 ^9 T7 M0 |
' V2 v" t, ~6 O1 f/ F' W$ m1 d3 P. O7 | h- C5 [7 ^5 o
大东:温故而知新嘛!/ V$ u! L* ~( x6 \$ } I
0 s0 M7 K" N3 W3 @2 ~
- X- B! [- ]) E1 q3 R; \' B来源:中国科学院计算技术研究所
0 G- ^; z: H5 F) q$ J3 c: m
+ T2 P9 F/ |" d3 w- U; v9 G/ S
9 N: c! Y* T& ~" P. Y% i1 B# k温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」3 v% j! B T3 i' @( J
5 Z$ e! S7 ]2 ~ W) L M8 y! ~9 c
- j) }0 N {! @
2 S8 M/ g- t3 a3 n
5 d% i# L, F7 M2 }6 H
9 }) y/ F3 a; z% u* d7 F5 R
* Y: f# u3 K) f+ L% C$ O* t来源:http://mp.weixin.qq.com/s?src=11×tamp=1574510402&ver=1992&signature=Tvxe-dv0Pli2WOy8jx6-Hw7rnv9HYpasycZdOiA27ix8cPjxnROs0K1kkvdUU-4qOv15U3svsKSNcI-QAj5BtJGG0rX5r4iFdLPgzGOu9EXoWlxVCaXxE1chtktOJjK2&new=1
4 A1 X: y1 E" z* e6 L* |免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-11-23 20:40:29
