|
|
一、灰鸽子病毒事件! {, E( ~2 t0 m8 B6 n
9 b9 {/ u/ Z k8 d7 H
' F* C! C, E; R
小白:东哥,我最近弄了个新鲜的东西,可以远程控制我家的家电,例如空调,电视,冰箱……
' d( M! [ d. f% n' {0 q* z: y
, V; p* v' }0 {6 a# ?2 H$ |( P) V: E- n
大东:嗯,这个不错!
1 F. r o2 R5 O$ p9 l" s. i) U. ?; w: ? : _7 i3 e* k8 G! W5 B2 `& e
# r3 }, K. I4 Q& I. g! p手机远程控制空调。图片来源于网络 ) \9 Y U* X$ V' k
t' O# p/ {: ^ L& ~- ]0 m5 ]
0 \& ?# v, M% N小白: 是啊,最便捷的是有手机、有WIFI就可以实现远程控制功能。
3 ^1 V7 ` g2 W9 ^: Y# \& @
8 _6 e, c% O& d' j' H/ k9 S j% I5 [- e7 w/ _% B" T6 T
大东:等一下,便捷中往往隐藏着“邪恶”,你可要小心灰鸽子病毒啊!
3 ^! \$ o6 J' O) s2 t
; Y" W9 s) O: R/ B t$ G1 {! H8 T- e) x! M1 s6 K. f7 Z
小白:灰鸽子病毒?
# R1 e! }1 X/ s6 e
* N$ l( {/ M8 O( \9 {: S( g' t; [
9 `/ A- i& R, M$ |( B6 L4 m大东:是的。灰鸽子本身是一款远程控制软件,但是因为恶意使用,又被认为是一个集多种控制方法于一体的木马病毒,一旦用户电脑不幸感染,可以说用户的一举一动都在黑客的监控之下,要窃取账号、密码、照片、重要文件都轻而易举。
* B- a& D2 @1 L6 v5 x- E4 F) O% s; B Z9 d" h1 W
6 @3 Q8 j2 j1 u f! ]8 V: [' L0 B1 @小白:我的天啊,那我的隐私岂不是完全暴露在大家的面前了?!
0 D* w/ ^1 Y$ [6 f7 @% ?1 t3 P" W3 A8 g4 d" t$ [# n
. v2 ]. n7 W6 W大东:不仅如此,他们还可以连续捕获远程电脑屏幕,还能监控被控电脑上的摄像头,自动开机(不开显示器)并利用摄像头进行录像。& B0 `/ V' M5 p c
- i7 |# s) f4 f& t1 u8 l8 p9 V6 l; Y" q# f
小白:简直是太可怕了!假如我没洗头、没洗脸、穿着邋遢衣服的样子被拍了下来,上传到网上的话……3 d% J* J$ B6 @# R$ Y
0 v- R* s9 ?( q0 S
. J/ x* |: H, A& y, |& {4 y
5 G ?7 E% ?1 M8 R
8 b; P( k; C, z+ a- K" O7 H. Z大东:emmmmm……你这个颜值估计上传了也没人看。我们言归正传,继续说灰鸽子的事。随着“灰鸽子2007”的发布,当年仅3月1日至13日,金山毒霸截获的灰鸽子变种数就达到521个。盗号、偷窥、敲诈以及骇人听闻的公开“叫卖”,危害更甚于熊猫烧香。9 T9 \+ E: ~% ~
. p& _- I' }5 `% r7 s3 T. z
+ L2 }3 p, L5 q/ ?* a, X' e- {小白:这群人简直太可恶了!
" ~2 b1 m; B2 |5 t5 o, }$ O1 j, v7 Y3 l7 D* p* W W
9 t: I5 U2 o* J! ^2 ^0 ?
大东:而且灰鸽子已不再是一个单纯的病毒,其背后是一条制造病毒、贩卖病毒、病毒培训为一体的黑色产业链,从某种意义上讲,灰鸽子的危害超出熊猫烧香10倍!
/ N& v+ c4 W1 F9 I# G7 P# j
8 m9 ]8 x# A0 ?; n
3 Y& m" |' E7 l9 X/ g) h8 S灰鸽子产业链示意图。图片来源于网络 * s: }4 B! v: f S# [
8 D: p& P7 I5 o1 L4 T% V
小白:东哥,那我们就拿灰鸽子一点办法都没有吗?/ g- V6 s. R% M8 u+ C3 L: w
4 T" T9 n- Q5 B
, U! t7 n; q2 @5 t+ t
大东:灰鸽子虽然强大,但它并不是完美无缺的。让我为你解析一下这个难缠的病毒。
$ D9 Y! q7 O+ j* ?5 J3 }& P
3 ?) ]8 G8 }5 P: _" t# `二、灰鸽子病毒发展史
9 X7 G$ n8 x$ u; v0 C: i) x& H9 c% D* f& c& Z8 R$ x
& F% C3 j& F. X4 B; r
大东:先来说说灰鸽子病毒的发展史吧。
2 u$ u. g# `* z. N, f
' |0 T- C: r. [9 j) \8 V F/ }2 ~5 o8 Q4 K8 N7 x
小白:好呀,我最喜欢听历史了。
+ U4 t9 a& M& r9 Z' y1 q0 W( N9 A3 z, z8 r9 z Y
& B F+ ~/ U. P- T4 S大东:灰鸽子病毒发展分三个时期:诞生期、模仿期、飞速发展期。
! G3 o8 _7 Q' T, l% g d; _. f2 o2 c3 s$ m
- z4 i0 a+ b$ s; d" j2 t
小白:先说说诞生期吧。2 D; C; X' D% W0 {" O
: R! q8 Q# k" [$ z8 z4 T! e: z v
" |7 G: b" u2 C1 i# X; R
大东:诞生期自2001年,灰鸽子诞生之日起,就被反病毒专业人士判定为最具危险性的后门程序,并引发安全领域的高度关注。2004年、2005年、2006年,灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒,灰鸽子也因此声名大噪,逐步成为媒体以及网民关注的焦点。) t/ D$ }7 a |0 E* @1 l/ v6 m1 Q" l
1 L3 z9 t4 H ^( v, L( J, W+ P" I$ d$ j; q
小白:最具危险性的后门程序,听上去很厉害嘛。
* v7 U3 h: r' q+ |& m+ s2 x, b9 c
6 Y5 e- ^1 ?% h+ E# b! W大东:模仿时期,灰鸽子最早出现的时候是在模仿“冰河”。它采用Delphi编写,采用了源码共享的方式出现在互联网。虽然“灰鸽子”在当时的名气不及“冰河”,但由于开放源码的方式让“灰鸽子”逐渐增大了传播量。1 i; ^# r4 I- f# g3 N% q' k
4 I$ H' e2 M. N. e
# [7 V$ V3 ^0 e. S& y6 Z小白:这么说来冰河是灰鸽子的“前辈”啦!那冰河也是远程控制软件吗?6 m( y- g& }" [0 h+ p
# {6 {( q' ]$ c- V {( s
2 b7 N O) u# b7 u! M/ {大东:是的。冰河的可怕之处在于自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入、记录各种口令信息。还包括获取系统信息,例如计算机名、注册公司、当前用户等多项系统数据。远程关机、远程重启计算机、锁定鼠标及锁定注册表等多项功能限制也是他的拿手强项。4 Z7 I; X3 j) z7 L g# [4 a
$ @* G- g; X) ? J$ P
9 Q# e! Q: b8 R) X小白:说远了,该说灰鸽子病毒飞速发展时期了。8 u) D( \" L- T2 j, t4 D5 Z# J# n6 u5 H
" r/ \# w# g6 Z
/ J, E v, s- N% V4 p, w
大东:2004和2005这两年之间,灰鸽子逐步进入了成熟的状态,由于源码的释放,大量变种在互联网中衍生。2004年灰鸽子总共发现了1000多变种,而在2005年,这个数字迅速上升到了3000多。9 I/ ^. J8 L; ?
* O$ u5 Q, _; |7 }
/ Z$ J9 C9 l7 _% v$ o$ u小白:变种也太快了吧?!
& \% Q5 R* L2 r1 |& n' A4 h9 W* [3 X. D7 ?. @ z+ F
( [/ {4 V: {1 t- B" n @大东:“灰鸽子”最大的危害在于潜伏在用户系统中,由于其使用的“反弹端口”原理,一些在局域网(企业网)中的用户也受到了“灰鸽子”的侵害,使得受害用户数大大提高。2004年的感染统计为103483人,而到2005年数字攀升到890321人。“灰鸽子”本身所具备的键盘记录、屏幕捕捉、文件上传下载和运行、摄像头控制等功能,将使用户没任何隐私可言,更可怕的是服务端高度隐藏自己,使受害者无从得知感染此病毒。
) C" f. D: x! s0 w& ?/ f: h- r% K3 o7 _: W
) Q; t4 Z3 W" t" M
小白:令人害怕!3 P7 _' j! Q9 G7 t3 I
7 `% L8 o1 h: U
三、灰鸽子病毒清除办法6 V' O5 D( w! m. h3 v
" o3 _* n4 I+ |9 J5 F
3 J, E* z* q2 Y8 \ q大东: 但是利用一些检测方法就可以将灰鸽子揪出来。通过研究发现,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子服务端。
i9 R+ S/ f; z! V3 U+ z a+ `) v' X, M4 N. b. Q
, C# d4 T \! T( _4 J6 g小白:那是把“_hook.dll”结尾的文件删掉就可以吗?
$ n0 R9 @8 m; f V& Z4 ^' o
! g/ x+ P! R. y% s1 k7 r9 ?! [
8 w) ?1 x5 E$ H3 ?7 Z) M大东:当然不是那么简单。由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行,而且要把Windows设置成显示所有文件。并打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。经过搜索,在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。4 |& r' _2 u8 X$ S2 Z/ c2 `& D
, w* ]5 y j5 Q7 ^, J" s
) ^2 |' G' }$ G) k, l7 \
小白:这就是灰鸽子文件了吧!- }; T* k. W! U- q6 _- V1 H6 |
1 e+ X6 H. @) U' `+ o' t" x: s
: t) x4 c( @3 u& y* f# t$ Y( q1 x6 `5 g大东:还不能确定。如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。这才是真正的灰鸽子的服务端,不能“冤枉”好人啊!
6 W" K9 H1 {* ?# j/ D) q
* e& o% y7 ^; P# D" h! y0 {! }$ ?) k m- f
Game.exe和Game.dll。图片来源于网络
6 X& @2 {2 b' v& _$ |7 [& O5 x6 I, I1 T( {7 f5 ?
* W! E" w* C# m$ ?
小白:原来是在这样。把这几个文件删除就可以和灰鸽子病毒say goodbye了吧!
, u. `2 @; s! V3 [$ K* o3 z: X2 x: G/ j: X# u* f
/ Z, i/ K4 Z6 \8 M6 @大东:总共有两步,这只是其中的一步。首先清除灰鸽子的服务,注意一定要在注册表里完成。清除灰鸽子的服务一定要先备份注册表,或者到纯DOS下将注册表文件更名,然后再去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联。
9 B- W% a5 T: U
( h5 K$ S V. s3 {! B7 g% f6 l7 I2 a# ?9 W# e
小白:东哥,具体应该怎么做啊?教教我呗。" X/ M, q8 \1 E, F) F
! H: ~2 t5 c4 ?4 y" O, z8 Z( @( I
大东:第一步打开注册表编辑器(点击“开始”- “运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。第二步点击菜单“编辑” “查找”—“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server,每个人这个服务项名称是不同的)。第三步删除整个Game_Server项。
, Q6 H- K; V ^3 q ( `- C5 @% n* }
# d. {" Y7 \& B6 O1 u' N
查找game.exe。图片来源于网络
5 D7 Q7 ?# `# d# Q- v" H* h. b/ Q! U6 m6 V
小白:这其中的第二步是不是就是我刚才说的删除Game.exe和Game.dll。
( L- D3 `, b q$ x# K+ P! V2 x; e: y& f; N8 L1 D# T
' b2 f* y0 p7 e( F( d大东:bingo!你只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机,就彻底告别灰鸽子病毒了。
4 J, Q! [8 a) r) p ( R0 q& r" }0 j8 l6 `
四、防范措施
- |; S' `; _, ^/ A L
, U1 e l& i4 y- @+ @' x小白:东哥,那该如何防范灰鸽子这类病毒呢?
1 p% E5 w9 G9 G' T
/ O$ p z, X* V* r' K3 T: T/ R
. ^9 v3 c# A; k大东:有些办法虽然有些原始,但总是最好用的。比如说给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack)。/ h* \' ?; s/ C6 Z/ |5 m
6 o+ ~% a- C w' p$ M) t
0 v! |% x5 B p k/ @7 E小白:东哥,我们老说打补丁,补丁的专业解释是什么呀?我们为什么要定期打补丁呢?* W! r$ B8 S" O1 L. c; x
/ c B0 a( z8 p' P# f, v0 A. H, y v* X. w& X% Y: o
大东:补丁就是操作系统的不定期错误漏洞修复程序。一般在开发过程中,一开始有很多因素是没有考虑到的,但是随着时间的推移,存在的漏洞问题会慢慢被发现。这时候,为了对系统本身存在的漏洞问题进行修复,系统开发者会发布相应的补丁。黑客如果利用这些漏洞,就可以得到计算机的控制权。: p( D$ k+ y% q$ c
" _! K- D0 r) @) Y& G8 n- `% C
! N6 Q, c( f( v+ x: l6 ?9 u7 y小白:东哥,还有类似的“原始”方法吗?
8 z: U8 _) W+ u( k! Y + c. r" [' X) \/ y1 P+ A+ M- R
Q+ e; c0 ~5 e1 b; l3 r
5 B# s$ e% ]" \
* U' Z/ h: C. g
大东:给系统管理员帐户设置足够复杂足够强壮的密码,最好能是10位以上,字母+数字+其它符号的组合;也可以禁用/删除一些不使用的帐户。如果记忆力够好,经常改变密码也是也是个不错的选择。% H% |5 u# [# z# u0 g) ^: ~
" Q: v4 j7 G v
3 j! I. L! j/ Z% t( I7 f% `. @小白:对,比如说我就经常换密码。
+ d$ T/ K+ v! }, [6 _2 w# t( \1 C7 v, m+ t% W* i$ D
/ c7 ?' s C( g$ l/ _' n5 o# h
大东:哎,不过你也总是忘记密码。不过单纯地讲,换密码这个习惯还是不错的。. H; w9 ?+ k( q4 m0 e4 h: K- M, p
7 f/ D5 u1 h( {. o' M2 s
4 D/ }. d& }1 L4 y" k8 o小白:东哥,你总揭我老底,就不能给我留点面子嘛?
o B+ B$ a! J, j9 s0 d' V/ k# r
) F" i7 F; {* _* W8 Q# i, x; }. c( W% V
大东:(装作听不见的样子) 嗯,我们继续说防范的方法。经常更新杀毒软件(病毒库),安装并合理使用网络防火墙软件是十分必要的。网络防火墙在防病毒过程中起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。
, H* m2 }) l+ }& D; N( @
! O# B! I r' p
( D/ @! n5 o% M0 q& g5 i小白:东哥,还有吗?
! T3 A9 e. X# g+ Q3 @: T. t) N: {- C2 u
5 v& \/ x% O6 R% k
大东:关闭一些不需要的服务,条件允许的话可以关闭没有必要的共享,也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。) U f$ r: A5 O' e/ I% P
/ y6 F6 p1 W1 N2 g9 ~) k, I G% |3 b1 g- b8 B8 ~
小白:懂了。东哥,通过你刚才的讲解,我回忆起来了许多东西。8 m; T5 u' L S$ V( r8 {0 A
3 }( W9 j( P* T# J7 g" d/ L3 `! Z, a, Q3 t
大东:温故而知新嘛!$ ?# q5 @* Z8 D% Q
2 @, {- f. q& G* y6 t2 N. D M) b+ X" `" J$ {) p( ]
来源:中国科学院计算技术研究所+ z: o. D6 y6 g- e
$ y' I% ]6 {4 g1 p* ^ Q
7 E0 c2 j0 `4 h温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」3 O8 o6 R. {0 f1 d
; w- F2 X" r4 Y% V4 N" c: @$ l
9 E8 E% I% a, |: P, l# \ J
/ p( g$ F# {( B: l, c1 k+ |! M% d F# T/ h
& H5 c7 H6 k: a5 V y5 [
0 E) Q% ]+ M: F$ p+ o来源:http://mp.weixin.qq.com/s?src=11×tamp=1574510402&ver=1992&signature=Tvxe-dv0Pli2WOy8jx6-Hw7rnv9HYpasycZdOiA27ix8cPjxnROs0K1kkvdUU-4qOv15U3svsKSNcI-QAj5BtJGG0rX5r4iFdLPgzGOu9EXoWlxVCaXxE1chtktOJjK2&new=1
# {1 R4 ^: z. z; Y; L0 B免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-11-23 20:40:29
