|
|
一、灰鸽子病毒事件
# P1 h z& r; w' J/ V) \. M0 G, { L- u2 N" M& O2 _. \6 r
, s' r! n" Y2 m0 u/ m
小白:东哥,我最近弄了个新鲜的东西,可以远程控制我家的家电,例如空调,电视,冰箱……/ d+ t4 Z" x' e4 N
3 c ?/ Q& L( T G7 u9 b0 k4 o
8 U9 z- [. a' [* c& R. D: t% _大东:嗯,这个不错!+ u. I0 w. _1 B/ o6 @+ J
% a# L* f4 T$ [( N G! _! ~
( _5 X7 } y# w# K$ T
手机远程控制空调。图片来源于网络 ! O- I# i3 ?2 ?/ P- s- v2 ]& m
7 ~5 {7 K; t$ v5 S* p- K
- V: Y, I1 J: |7 \$ z7 z' B2 V0 m小白: 是啊,最便捷的是有手机、有WIFI就可以实现远程控制功能。" G0 ]7 l# R6 k$ ]4 X4 v! b
6 s* K6 e4 D9 {/ w Y( x- d# y* ?: {( r5 {4 s$ `4 u
大东:等一下,便捷中往往隐藏着“邪恶”,你可要小心灰鸽子病毒啊!
8 F! }3 Y. m6 U& p7 J0 x! m; S3 G3 |7 e% A
( ^2 A5 d% o, h- i8 J* f- |小白:灰鸽子病毒?0 i5 f8 N; Z/ Q4 h8 ?3 E( d' F; j
5 x1 Q2 Z9 E) R" }# p
& e% j7 f! x: T& g大东:是的。灰鸽子本身是一款远程控制软件,但是因为恶意使用,又被认为是一个集多种控制方法于一体的木马病毒,一旦用户电脑不幸感染,可以说用户的一举一动都在黑客的监控之下,要窃取账号、密码、照片、重要文件都轻而易举。) U. N* P" x$ p* M [' A
! y0 M F3 I# v W7 T/ i" z
* b1 e3 C5 l) J4 W* M小白:我的天啊,那我的隐私岂不是完全暴露在大家的面前了?!
6 A; O1 `" p& t! R0 Y8 \9 O7 q! c8 t# N. v. h0 h4 d8 ?
: }: x: ]: H/ F. j* R. \- P# o$ s9 K
大东:不仅如此,他们还可以连续捕获远程电脑屏幕,还能监控被控电脑上的摄像头,自动开机(不开显示器)并利用摄像头进行录像。% E( ?* k9 _ |3 C$ m: e
) u1 z5 R9 g: H8 v5 e* J
" ?; E, s3 D, m6 G+ b) O
小白:简直是太可怕了!假如我没洗头、没洗脸、穿着邋遢衣服的样子被拍了下来,上传到网上的话……
+ H! A3 R$ V f& ~' A+ K" `; I 8 {3 G/ Z9 x I9 Z: }* u$ }
; ^& b) L5 Y* Z/ b' L' Y' E
% p% l9 I0 @' B# `' S5 S/ k3 J0 H- R
大东:emmmmm……你这个颜值估计上传了也没人看。我们言归正传,继续说灰鸽子的事。随着“灰鸽子2007”的发布,当年仅3月1日至13日,金山毒霸截获的灰鸽子变种数就达到521个。盗号、偷窥、敲诈以及骇人听闻的公开“叫卖”,危害更甚于熊猫烧香。
+ G) S( R: K4 E
3 Z+ B& H! O9 U7 b) w3 [ ~5 r. z- ]; G' M" |* U
小白:这群人简直太可恶了!
2 I$ V( H* a* j' w( ^; a. z7 C
: Q% z( ?! k. T9 y' K5 e l; X1 s6 S, h
大东:而且灰鸽子已不再是一个单纯的病毒,其背后是一条制造病毒、贩卖病毒、病毒培训为一体的黑色产业链,从某种意义上讲,灰鸽子的危害超出熊猫烧香10倍! $ d9 g6 a2 }- C" \' r
8 M0 R1 K+ L- v" z" \
% f7 Z$ T8 i9 c5 b$ r9 O$ j灰鸽子产业链示意图。图片来源于网络
( v4 i5 k, P; G' ]$ M9 s& l
0 l; A( V. s8 w5 e h- ~$ g小白:东哥,那我们就拿灰鸽子一点办法都没有吗?
. B0 g. O0 T( ?0 b" u) z7 C7 \, n2 A4 k% }7 }% a5 y t6 u
! {, L( Z; C. _大东:灰鸽子虽然强大,但它并不是完美无缺的。让我为你解析一下这个难缠的病毒。
: [! a0 O& A/ b
1 I; r4 P# ^+ S g, y二、灰鸽子病毒发展史$ F+ B: O2 A. {$ `* t5 b6 M
9 j2 Y& U( B$ c2 f1 @! @5 n. @0 J4 N8 D$ g
大东:先来说说灰鸽子病毒的发展史吧。
+ j) X$ Z' @2 R9 `9 Q4 y4 u @3 p: U- w1 k* p1 x% @8 a: [* T
. i% K) V! r, Y/ e" h
小白:好呀,我最喜欢听历史了。
, V! B8 }% s' q6 @: s. w
2 a! @8 Z, ?, p7 \0 g0 Y
/ S$ _. l% |( N, R大东:灰鸽子病毒发展分三个时期:诞生期、模仿期、飞速发展期。
2 T( K6 @# d* o s, Q3 c7 g: U
- T, U% b( G9 c9 D( H* Z8 A z) Q$ m& G+ D K' ]5 n7 |/ y. \. E) m
小白:先说说诞生期吧。
7 m, ]' M' B8 |, e# {5 Q
! }. u& E" `& m; Z* ^- c( f
5 a9 X7 }/ |- M- h6 P* K M: ~大东:诞生期自2001年,灰鸽子诞生之日起,就被反病毒专业人士判定为最具危险性的后门程序,并引发安全领域的高度关注。2004年、2005年、2006年,灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒,灰鸽子也因此声名大噪,逐步成为媒体以及网民关注的焦点。4 f, G; t* g0 [3 ^
# ]- m+ w9 @ T
% H4 u# d9 D/ Y小白:最具危险性的后门程序,听上去很厉害嘛。, E! F; a8 i2 N
# J2 O# F5 C# P3 {; h1 M' w
8 }" a4 v" h! j) Q. y% s! {
大东:模仿时期,灰鸽子最早出现的时候是在模仿“冰河”。它采用Delphi编写,采用了源码共享的方式出现在互联网。虽然“灰鸽子”在当时的名气不及“冰河”,但由于开放源码的方式让“灰鸽子”逐渐增大了传播量。* q. ^! Q- k1 P. N; k4 ^( u% U
, \8 }' A) w1 r8 h! ^! Q
- c/ @. I7 m2 K小白:这么说来冰河是灰鸽子的“前辈”啦!那冰河也是远程控制软件吗?$ V& o+ b6 ]" ~0 }7 c9 ?: Z5 p
" U: e, n/ R5 q4 s
0 D+ k6 I' r) h6 V大东:是的。冰河的可怕之处在于自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入、记录各种口令信息。还包括获取系统信息,例如计算机名、注册公司、当前用户等多项系统数据。远程关机、远程重启计算机、锁定鼠标及锁定注册表等多项功能限制也是他的拿手强项。
- j1 D8 @9 F3 [( V8 Z; u; q5 G5 }: X) Q/ f
, t- \% P7 u" K4 m小白:说远了,该说灰鸽子病毒飞速发展时期了。
0 C b5 o0 V/ }( d8 M/ V
Q* e7 \( I& B
" T, q6 V! n, T: A/ N4 @+ M2 s大东:2004和2005这两年之间,灰鸽子逐步进入了成熟的状态,由于源码的释放,大量变种在互联网中衍生。2004年灰鸽子总共发现了1000多变种,而在2005年,这个数字迅速上升到了3000多。3 K3 r8 \$ ?" ]7 X; E
/ g0 w8 _1 Z' z0 C8 A
* @# a* h" k. U0 l* W. C
小白:变种也太快了吧?!8 F6 s* H( \# T1 J5 H. G' Z
# S% d x9 K4 G4 t4 A$ a8 |; l' f/ p
大东:“灰鸽子”最大的危害在于潜伏在用户系统中,由于其使用的“反弹端口”原理,一些在局域网(企业网)中的用户也受到了“灰鸽子”的侵害,使得受害用户数大大提高。2004年的感染统计为103483人,而到2005年数字攀升到890321人。“灰鸽子”本身所具备的键盘记录、屏幕捕捉、文件上传下载和运行、摄像头控制等功能,将使用户没任何隐私可言,更可怕的是服务端高度隐藏自己,使受害者无从得知感染此病毒。9 |* s2 O$ d; q- S# c8 g) o
! O, V$ W3 v, [ K$ Y: y6 S% u: c, o, [1 u: o
小白:令人害怕!
6 F2 G: C' Y o & e. |, d6 P! r
三、灰鸽子病毒清除办法
4 c# V e3 \% {" h! j/ T6 L. E2 K/ K
% \/ b; q+ M0 z3 ]9 H# L5 e' n m! D9 q2 X5 ?
大东: 但是利用一些检测方法就可以将灰鸽子揪出来。通过研究发现,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子服务端。
. h x" [, I) ^$ P4 A0 R
8 y1 F# v5 p; P4 m
6 [2 O6 C2 g* p9 g小白:那是把“_hook.dll”结尾的文件删掉就可以吗?( B1 o3 {: I; x( ?( c, [# z% l
) U; j7 e+ e- e
' z6 P. P3 s: T0 C0 b: Q" Q4 V大东:当然不是那么简单。由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行,而且要把Windows设置成显示所有文件。并打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。经过搜索,在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。9 t v& T$ u% Z" e [* `8 W
! f1 B( x: j# x- d- W3 D# G
1 m0 \% H3 Q% r# F0 x2 D1 s# ?- X小白:这就是灰鸽子文件了吧!0 w e+ I6 X' f# I' Q0 S
' J, A" c8 q4 M3 |9 w
n# ] j6 R( O9 G: D# |大东:还不能确定。如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。这才是真正的灰鸽子的服务端,不能“冤枉”好人啊!
) ? A. H8 d( b" b! Y2 K+ S
2 G7 a6 x, P4 E4 I) O2 { @+ |1 e# ~6 Q% c7 [3 k, b2 j
Game.exe和Game.dll。图片来源于网络 8 ?, `5 V2 {& G! } r$ d* b
' {1 Y; e# @. j m
0 K% p8 |' u, c小白:原来是在这样。把这几个文件删除就可以和灰鸽子病毒say goodbye了吧!1 M8 q+ n- q/ i$ m4 z
2 R( a% k' W% P) T" x1 ^
% z! ]7 I2 h9 F/ m8 @; s大东:总共有两步,这只是其中的一步。首先清除灰鸽子的服务,注意一定要在注册表里完成。清除灰鸽子的服务一定要先备份注册表,或者到纯DOS下将注册表文件更名,然后再去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联。* Y2 B3 U! N# y$ J$ `- K
. d* k- r( r, V+ I
6 ?7 Q5 n2 D2 V6 n( W
小白:东哥,具体应该怎么做啊?教教我呗。8 |8 [) P& ~$ g' N/ c5 `
* H$ ~4 I1 t3 z4 ^( V7 y% s) J8 _8 U% e1 [/ k$ x& a5 A
大东:第一步打开注册表编辑器(点击“开始”- “运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。第二步点击菜单“编辑” “查找”—“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server,每个人这个服务项名称是不同的)。第三步删除整个Game_Server项。/ ?, M9 A! s6 y2 r8 Y, @% V# m
4 y% s8 I& f+ c }8 k, X: T3 i# L7 W, [8 D/ o' ~
查找game.exe。图片来源于网络 $ M9 y4 @$ Y% v2 [8 c7 }
7 T4 G, J4 e z* h* s) L
小白:这其中的第二步是不是就是我刚才说的删除Game.exe和Game.dll。/ p+ Y k) F# e
$ Q7 z0 G" o1 J0 H$ V A. } M- m, R- p$ B
大东:bingo!你只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机,就彻底告别灰鸽子病毒了。
% G6 p- r& E$ @- e5 t' Z5 d 4 p; P, K3 ?' Q6 \7 r# h/ o p. W
四、防范措施
- N* Q* @3 Z7 o, I3 }$ |, C3 J% c0 R+ O/ b) U
小白:东哥,那该如何防范灰鸽子这类病毒呢?2 l1 K8 U: L9 Z( c, C
5 m w4 }8 T2 ^
0 n6 X- a3 F. `' I
大东:有些办法虽然有些原始,但总是最好用的。比如说给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack)。
8 s! L: X5 r. |$ o4 o E) \- ?5 E5 s" l
$ m9 J" d& m! q$ q2 `小白:东哥,我们老说打补丁,补丁的专业解释是什么呀?我们为什么要定期打补丁呢?
/ T0 [3 u9 C& }) u
- O7 ~. j6 K0 Q6 N. _ I0 I7 p( i( a) _# r
大东:补丁就是操作系统的不定期错误漏洞修复程序。一般在开发过程中,一开始有很多因素是没有考虑到的,但是随着时间的推移,存在的漏洞问题会慢慢被发现。这时候,为了对系统本身存在的漏洞问题进行修复,系统开发者会发布相应的补丁。黑客如果利用这些漏洞,就可以得到计算机的控制权。
% K+ w% S; Z, Y+ |6 c3 |6 d/ i5 [- r5 l- }
) ?; L3 a" @1 a4 n
小白:东哥,还有类似的“原始”方法吗?
" H# _; a* F. G
( {4 o7 @' Y% v9 \0 g; p9 Y$ Q
: z4 \8 d9 a I. h/ D3 v) ?0 D5 q8 }: `" O* \. @
; T Z# ]5 N6 A; ~5 n大东:给系统管理员帐户设置足够复杂足够强壮的密码,最好能是10位以上,字母+数字+其它符号的组合;也可以禁用/删除一些不使用的帐户。如果记忆力够好,经常改变密码也是也是个不错的选择。0 y' r7 a( l1 V% Q8 s
2 P9 n& X1 h- g; s1 q# D
6 h2 S+ N( V* R; P
小白:对,比如说我就经常换密码。
b+ |, n8 O/ b
0 i2 O' V% Y- S, f) p; A6 E" b9 }% I) l; e
大东:哎,不过你也总是忘记密码。不过单纯地讲,换密码这个习惯还是不错的。
5 r6 a8 I2 ?$ u. e) _+ z
9 T& A+ X5 _& ~
7 L, y, T2 A2 d+ u, q0 K! x7 m小白:东哥,你总揭我老底,就不能给我留点面子嘛?# O. T N8 M7 Q8 Y* T# T/ [8 t
( l- J$ o- E4 L7 {; M( q- U% |7 v7 f6 K# k4 ]- `4 }# C
大东:(装作听不见的样子) 嗯,我们继续说防范的方法。经常更新杀毒软件(病毒库),安装并合理使用网络防火墙软件是十分必要的。网络防火墙在防病毒过程中起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。
1 k, Y: \1 e8 d7 F+ {7 G2 w6 M7 j
6 c$ I# F- j* o( i
! \* K( p/ [$ I* ?9 B e, w小白:东哥,还有吗?( F$ r5 N4 L5 s+ U$ g
q8 a8 N7 `* p' ^; K+ @
& F/ ^% s. }% l. B% g大东:关闭一些不需要的服务,条件允许的话可以关闭没有必要的共享,也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。
2 a9 \3 e; D. I! p
, O. r, Z; @+ Y. ^' w
9 I3 K0 [* q L4 w小白:懂了。东哥,通过你刚才的讲解,我回忆起来了许多东西。
0 B8 \% y# {: S- v) q0 X E: p* o# v9 ]9 F4 I' \
! v$ T8 E( y. O6 _; s' s
大东:温故而知新嘛!
1 r X6 h) G, F5 x3 V; J! ]; [/ R& _( B4 C$ Y# a, N
6 x! V( f3 ~( e$ f& s4 g6 A来源:中国科学院计算技术研究所
: Z( _* g0 [9 q" [) }/ V$ a! a$ m! V& t- [7 S
: ]2 |% d, e$ ]( l/ M温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」- C. M7 A- [- e) D! N% N9 R
/ `7 z0 k. D8 s- P
, z: `7 ^2 n- X
2 E8 z8 M; m( ]4 {& f1 w1 a
3 @7 g& ?3 @! `& y. {* D# y0 j) {
4 }5 H0 W) q' w) f9 W+ L2 e' l* r6 X$ ^! Z% u+ Z( z; q& Q
来源:http://mp.weixin.qq.com/s?src=11×tamp=1574510402&ver=1992&signature=Tvxe-dv0Pli2WOy8jx6-Hw7rnv9HYpasycZdOiA27ix8cPjxnROs0K1kkvdUU-4qOv15U3svsKSNcI-QAj5BtJGG0rX5r4iFdLPgzGOu9EXoWlxVCaXxE1chtktOJjK2&new=1
. l: @* z7 R1 m! Q- d& l免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-11-23 20:40:29
