|
|
一、灰鸽子病毒事件1 @# V7 j$ V; @: \: G+ E/ r2 t
3 r; J# C; i# }. A; S$ x0 X/ E$ Q1 E' B. w7 r
小白:东哥,我最近弄了个新鲜的东西,可以远程控制我家的家电,例如空调,电视,冰箱……( D2 P8 d8 ]. v! M
& R+ w5 r* X+ G: s: l) c: {
8 ]+ M4 R. V, l$ s* ?+ }% ? A9 Z
大东:嗯,这个不错!
- o6 B' @) p: P& s' o$ R( J( U6 V; d
! O3 V, P. M; a5 x, ]1 d4 {/ R( B6 h. R+ F$ K: G$ ]$ I6 g
手机远程控制空调。图片来源于网络 ; t M; J% t( B$ F9 D# q7 |, V
4 O: H9 `! ~: Q+ k( [: l% _/ J7 }" }- c4 _' O
小白: 是啊,最便捷的是有手机、有WIFI就可以实现远程控制功能。
f& s% v% z( e; b. b# t- {' q0 G. ^, `# j
6 ], ?+ y/ ^% _+ ?5 @
大东:等一下,便捷中往往隐藏着“邪恶”,你可要小心灰鸽子病毒啊!
3 O( J; a& |! ~# Q4 W7 _! ?% u$ l' u L6 m3 E
) D w! P/ J0 `
小白:灰鸽子病毒?
! E7 O8 ~4 B5 p' o/ O {( n7 y7 `
: [5 g. H0 I+ |& ?& ]
大东:是的。灰鸽子本身是一款远程控制软件,但是因为恶意使用,又被认为是一个集多种控制方法于一体的木马病毒,一旦用户电脑不幸感染,可以说用户的一举一动都在黑客的监控之下,要窃取账号、密码、照片、重要文件都轻而易举。, C$ l# K& Q+ W+ u7 O7 w
6 L% A7 P/ _* P
9 N% _9 z: Y1 u V( o' p1 M0 a小白:我的天啊,那我的隐私岂不是完全暴露在大家的面前了?!1 U, _& V% P* P. j d3 N
" J5 g2 ?: ?' s9 h: t3 Z0 T; V" M1 d7 C3 g# c" o* U! a1 }! h
大东:不仅如此,他们还可以连续捕获远程电脑屏幕,还能监控被控电脑上的摄像头,自动开机(不开显示器)并利用摄像头进行录像。
Z. b6 |+ y& G2 G! f( u
! H3 A: F; H4 J+ x0 H) M3 ?# _" q9 D6 R) b2 @( H2 L
小白:简直是太可怕了!假如我没洗头、没洗脸、穿着邋遢衣服的样子被拍了下来,上传到网上的话……1 Z1 Y$ V0 C( i/ n
b7 K y! g) [* O4 k n9 p W7 Z5 \4 O' ~5 b3 s v
! W# j3 j& e9 N: d
$ s% w+ k6 i" h& _
大东:emmmmm……你这个颜值估计上传了也没人看。我们言归正传,继续说灰鸽子的事。随着“灰鸽子2007”的发布,当年仅3月1日至13日,金山毒霸截获的灰鸽子变种数就达到521个。盗号、偷窥、敲诈以及骇人听闻的公开“叫卖”,危害更甚于熊猫烧香。 Y! w% t( \4 [' L7 b0 X8 u0 z
/ `9 p( E% K4 m# B$ Q
# R6 C! U3 ?1 G; D; m) K; O$ Y小白:这群人简直太可恶了!% Z: M5 ?6 I; }8 |& T# G% H' _/ T
4 W# c0 \6 y5 T" c3 a; E2 }6 R; O3 R2 Y) Q
大东:而且灰鸽子已不再是一个单纯的病毒,其背后是一条制造病毒、贩卖病毒、病毒培训为一体的黑色产业链,从某种意义上讲,灰鸽子的危害超出熊猫烧香10倍!
R: H) b4 n0 X6 a$ w' v4 p4 |; f # D9 N. q7 D2 j4 J
3 g7 N& W" I3 i8 j
灰鸽子产业链示意图。图片来源于网络
& ^% E/ M" l# @5 Y2 e5 E. K- o2 G3 K- n: Y6 ?. n# d' V
小白:东哥,那我们就拿灰鸽子一点办法都没有吗?1 d! W5 U( u- j8 O$ @
6 ]5 Y6 [) e( s3 ?8 p2 }1 j, {
大东:灰鸽子虽然强大,但它并不是完美无缺的。让我为你解析一下这个难缠的病毒。( ?7 O( a. O. G4 U) ~
5 r, |1 R$ z( z+ n4 o5 k' J+ l. a
二、灰鸽子病毒发展史9 Z0 T o! x" }, O& s& D, n
8 W! `' w: Q3 N. N8 ]+ r3 ]2 F4 B& t6 d1 c
大东:先来说说灰鸽子病毒的发展史吧。, o7 t' v: z8 s8 [. n
& {+ G H4 ~8 }: K/ Z
; `2 U0 o# }2 E i, {9 e* E小白:好呀,我最喜欢听历史了。7 L' {/ }( T7 D7 a0 k
/ e/ |# T# v9 t) v7 u& g8 R. J
7 V5 b: r8 Z/ N4 {
大东:灰鸽子病毒发展分三个时期:诞生期、模仿期、飞速发展期。6 L) U: O- I! Z
) i- B- ]4 A# i5 W9 V4 _/ X& A
4 g, M- v% m, b" n3 p2 h
小白:先说说诞生期吧。2 ?3 i0 X% E7 {' l7 p
" l! t1 {2 j- \- W4 \* L
0 c; j! d! y8 N' \. j, @
大东:诞生期自2001年,灰鸽子诞生之日起,就被反病毒专业人士判定为最具危险性的后门程序,并引发安全领域的高度关注。2004年、2005年、2006年,灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒,灰鸽子也因此声名大噪,逐步成为媒体以及网民关注的焦点。! l) K2 G3 e. h0 }8 c/ s
# z/ E* F) P6 A" a _% L1 D8 {4 O- O, G
小白:最具危险性的后门程序,听上去很厉害嘛。
4 P# Z, ^, e7 q4 |4 B$ F* p
+ J ~$ ^& X# B3 m
, }; K9 V, g) n( s大东:模仿时期,灰鸽子最早出现的时候是在模仿“冰河”。它采用Delphi编写,采用了源码共享的方式出现在互联网。虽然“灰鸽子”在当时的名气不及“冰河”,但由于开放源码的方式让“灰鸽子”逐渐增大了传播量。8 ?1 k7 e9 C+ y, s- s
; c `7 |: C' @1 L
6 `: ]' `8 H' x/ W% s小白:这么说来冰河是灰鸽子的“前辈”啦!那冰河也是远程控制软件吗?$ G: f/ s1 |5 H) X) {
4 a, |! h4 w( O
& q7 G- {! D- c* G! O9 K* {: I大东:是的。冰河的可怕之处在于自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入、记录各种口令信息。还包括获取系统信息,例如计算机名、注册公司、当前用户等多项系统数据。远程关机、远程重启计算机、锁定鼠标及锁定注册表等多项功能限制也是他的拿手强项。( s! J7 x; \& I& X% k; ^- @
$ Z+ V- @- g6 P1 _
6 z" W, E+ J7 l2 B( d1 C小白:说远了,该说灰鸽子病毒飞速发展时期了。8 N7 ]! e! s' }. J1 Y' u% c
* }8 S- S5 ^7 @! j w+ m
% e4 }- D# ?% E: j大东:2004和2005这两年之间,灰鸽子逐步进入了成熟的状态,由于源码的释放,大量变种在互联网中衍生。2004年灰鸽子总共发现了1000多变种,而在2005年,这个数字迅速上升到了3000多。2 }7 Z* k8 `0 R4 B3 s$ W& `
5 u- y+ s3 c; A8 p4 y6 L: s5 Q. i" V
小白:变种也太快了吧?!
: W( }- |' P1 I% |! G8 Y$ ]8 H/ a/ N$ _6 L# F, V) U% [( E
. e/ X B# a$ r大东:“灰鸽子”最大的危害在于潜伏在用户系统中,由于其使用的“反弹端口”原理,一些在局域网(企业网)中的用户也受到了“灰鸽子”的侵害,使得受害用户数大大提高。2004年的感染统计为103483人,而到2005年数字攀升到890321人。“灰鸽子”本身所具备的键盘记录、屏幕捕捉、文件上传下载和运行、摄像头控制等功能,将使用户没任何隐私可言,更可怕的是服务端高度隐藏自己,使受害者无从得知感染此病毒。
7 |" Y9 j. r1 W' j% d% |
5 ?$ w, c1 E3 K/ I W9 c0 d' Y5 k$ S/ v4 L) v
小白:令人害怕!3 r$ S b3 {+ c% Y
/ r1 y# y, x1 l
三、灰鸽子病毒清除办法' \4 l4 c5 T% J- c6 q5 i, f
% n1 F: ?3 w/ U3 N
+ E( L: {; X, I( j# L& T
大东: 但是利用一些检测方法就可以将灰鸽子揪出来。通过研究发现,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子服务端。9 N# r q" X/ X, e* q
2 l5 i' f. l4 }" e2 I4 V
) [, B2 s/ `) B2 _- ]" i7 X小白:那是把“_hook.dll”结尾的文件删掉就可以吗?
; q. n% M8 U' m$ k! f, k, ^ N- v" p9 P( W% F$ d! J
/ n7 {: b; @3 o' d8 [( c; r
大东:当然不是那么简单。由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行,而且要把Windows设置成显示所有文件。并打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。经过搜索,在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。5 T \' H9 ?- ~- w
* K4 ]( w Z5 }) \ F
+ X- z$ E3 F1 J, e) X) o/ z7 d
小白:这就是灰鸽子文件了吧!$ A/ F8 U) f. u/ D
! M* H# B! U& r4 E" _) X" G! H/ w+ K" ?8 I. i
大东:还不能确定。如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。这才是真正的灰鸽子的服务端,不能“冤枉”好人啊!* ?. X# ?6 w9 e$ h3 K9 S/ |
+ u% M5 B X7 N1 q/ ?" T
6 a& r! S& a4 j( }( V% Z( {
Game.exe和Game.dll。图片来源于网络 ( l% n1 M- K, s4 r$ Z
1 U; i0 Z6 y6 y6 F4 J# N
6 G% o1 |) l4 h/ @2 v小白:原来是在这样。把这几个文件删除就可以和灰鸽子病毒say goodbye了吧!
5 ~3 c" h9 V& |
! j' `9 `7 _+ o4 [+ y- e' ^! c' I6 M1 h" O6 b7 ~5 z! S
大东:总共有两步,这只是其中的一步。首先清除灰鸽子的服务,注意一定要在注册表里完成。清除灰鸽子的服务一定要先备份注册表,或者到纯DOS下将注册表文件更名,然后再去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联。: ]& T( c: O1 @0 d: m2 [% J/ d# q; k
- J4 _. \/ ?0 c
3 K2 ]: P* C* F; H0 T0 e小白:东哥,具体应该怎么做啊?教教我呗。
/ `2 H C! k4 b7 o- a0 N! W
- y1 @& ^5 F8 J+ ?1 u: y, Q* B) S/ o- G# J1 o* n* M( s @
大东:第一步打开注册表编辑器(点击“开始”- “运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。第二步点击菜单“编辑” “查找”—“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server,每个人这个服务项名称是不同的)。第三步删除整个Game_Server项。, z T3 d/ x8 Y
5 A. i/ k: C* U5 D7 R& a |6 V0 s, _& M+ t$ w# F
查找game.exe。图片来源于网络 & `3 `7 F4 j7 G- x
% w4 ]# j% c# d9 ^" k
小白:这其中的第二步是不是就是我刚才说的删除Game.exe和Game.dll。
/ d+ Q2 h6 o$ f9 S; R+ `4 t) j2 Q4 |+ w( U% `. }7 k
3 m3 _6 I3 O* {# Y
大东:bingo!你只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机,就彻底告别灰鸽子病毒了。9 d7 Z+ k [! m" P7 Q; R1 t" ~5 |* H
& u! r N: t# ?
四、防范措施
+ G9 j, B/ s% c1 Z* }
8 ~( f' ~8 l& a" X! Y' a7 q' |- W小白:东哥,那该如何防范灰鸽子这类病毒呢?
6 R2 t/ h9 o! g" w3 l- K
: p7 z6 N" a% z) f0 ^- ]3 t p9 q+ }( _' P* r" C. o) L# p
大东:有些办法虽然有些原始,但总是最好用的。比如说给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack)。3 A# Q8 x6 Z" y1 G5 v" |
0 K4 w* ?1 g3 `0 \: V8 R ?
Q# v; T( E& {, V7 ~$ r小白:东哥,我们老说打补丁,补丁的专业解释是什么呀?我们为什么要定期打补丁呢?
& e( K/ W0 }" t0 {8 U- o8 z8 \' o# P
1 Z0 ^9 b( C6 `大东:补丁就是操作系统的不定期错误漏洞修复程序。一般在开发过程中,一开始有很多因素是没有考虑到的,但是随着时间的推移,存在的漏洞问题会慢慢被发现。这时候,为了对系统本身存在的漏洞问题进行修复,系统开发者会发布相应的补丁。黑客如果利用这些漏洞,就可以得到计算机的控制权。3 b: r: M5 {# C) P1 Y9 `$ F
" s* [5 ?; u3 @+ E1 q9 _0 B, f6 R
+ D+ K0 d0 ?2 A9 J
小白:东哥,还有类似的“原始”方法吗?" Z. C4 m5 Q* \. ~; X
7 z9 a/ W9 T* o! _0 U- h7 \# f& M
. D0 j: t7 h. E4 `! Y# b
: E, t2 n9 J: z
' z' R3 [% e- | |! J' I大东:给系统管理员帐户设置足够复杂足够强壮的密码,最好能是10位以上,字母+数字+其它符号的组合;也可以禁用/删除一些不使用的帐户。如果记忆力够好,经常改变密码也是也是个不错的选择。! F2 H r3 F. x
4 t/ i; ?6 [6 q. W! E7 k
1 T4 t9 ^4 f9 }: S' A
小白:对,比如说我就经常换密码。
% Y. |: j+ S! C4 |$ ]/ W0 _: z" g f4 n, |8 y4 K
5 j3 P" @( e; A# R+ y大东:哎,不过你也总是忘记密码。不过单纯地讲,换密码这个习惯还是不错的。' C0 S' w8 z) s
7 G. N0 i4 e7 d4 h" N; z! | o9 R T0 O
小白:东哥,你总揭我老底,就不能给我留点面子嘛?6 X$ D" u; Z$ I' m
2 ^2 ^. v: I9 {8 @* ~9 u# u9 J& v5 f9 j2 T* }/ p' C$ \
大东:(装作听不见的样子) 嗯,我们继续说防范的方法。经常更新杀毒软件(病毒库),安装并合理使用网络防火墙软件是十分必要的。网络防火墙在防病毒过程中起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。0 B9 Y% a/ w3 Z2 d+ z
% O) X2 T, r" v
6 G0 S4 {: w* K6 J- E9 b小白:东哥,还有吗?
* F1 E7 \: g) n1 y1 J' S; ~
7 Z4 u, U+ T! O' V9 S" Q7 k7 q: s+ Y/ e' C7 `2 X
大东:关闭一些不需要的服务,条件允许的话可以关闭没有必要的共享,也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。
( k2 @2 y: g; n! I2 P& T e: [
! e$ }+ G7 z; q4 q& t P
& c- ?) y% h8 v小白:懂了。东哥,通过你刚才的讲解,我回忆起来了许多东西。: |; l& f3 @8 n; W7 G
+ a, n1 G1 K5 n$ I" l" ^5 n i0 i: b. e% q% \
大东:温故而知新嘛!% d, o2 N- O p" {4 [$ u
' \ k/ h" y5 G3 j! z
2 c/ L! y$ s& t来源:中国科学院计算技术研究所
+ r) Q3 _# v% s1 M, J- G# ^* r$ q! c/ t l6 i" g
) M. @' b7 \5 ~: g" `( ^ K
温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」; ?+ X, h' H- j6 R N2 D" r
b$ e8 p, x) q s$ R5 U% G U
" m" W$ t; w5 n: I: H, F& E7 p! v. J8 u8 H2 v$ z# [7 [2 x2 o
7 v+ D" X' |4 ?$ i
. r0 l, M( |; ~4 o: i' y. d/ {
0 m% M6 o+ m9 \' b' \来源:http://mp.weixin.qq.com/s?src=11×tamp=1574510402&ver=1992&signature=Tvxe-dv0Pli2WOy8jx6-Hw7rnv9HYpasycZdOiA27ix8cPjxnROs0K1kkvdUU-4qOv15U3svsKSNcI-QAj5BtJGG0rX5r4iFdLPgzGOu9EXoWlxVCaXxE1chtktOJjK2&new=1+ Z1 @6 K2 S9 d+ ?4 w' @$ _7 d
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-11-23 20:40:29
