一、灰鸽子病毒事件
8 S( n- p& p. Q- L5 `/ R) Y! g6 k; f3 d l$ d1 q# l: z* h6 f4 S2 p
& [' Y |7 y9 r; `$ k$ u/ D+ I小白:东哥,我最近弄了个新鲜的东西,可以远程控制我家的家电,例如空调,电视,冰箱……
5 y2 T' ^+ M1 y Q
" R% U% r4 X% x
3 \5 p# y; \9 m0 m大东:嗯,这个不错!
; b+ [, l' X2 i) `1 y& | $ V5 q, X/ B4 `" ]& J- ] |
( P& B9 e+ ^' [- ]: ^- B) |1 a
手机远程控制空调。图片来源于网络 " f8 D5 ~4 y7 X1 E! h5 F, Q/ {* |' n
H- W8 r) t3 Z' `' Y
8 B5 M3 ?9 K7 {, o2 b* E- |
小白: 是啊,最便捷的是有手机、有WIFI就可以实现远程控制功能。! b) K' i& N8 s; M7 ?% t' g6 v6 |
- e4 p6 _- V' \7 I
$ g$ _$ h7 @3 ], B+ e- H' I% }大东:等一下,便捷中往往隐藏着“邪恶”,你可要小心灰鸽子病毒啊!8 i4 m# k% Y; }" t: f, @
5 ~# z# i. F `; b
! Y; p' {! _1 o! i! ]! k小白:灰鸽子病毒?
4 u4 A+ f0 ]3 ]* R4 T: O, W8 p Q3 f6 `& a/ A
/ ?7 i& T$ N5 R3 h8 K7 a
大东:是的。灰鸽子本身是一款远程控制软件,但是因为恶意使用,又被认为是一个集多种控制方法于一体的木马病毒,一旦用户电脑不幸感染,可以说用户的一举一动都在黑客的监控之下,要窃取账号、密码、照片、重要文件都轻而易举。
4 s- U* ?, H6 [7 @5 S6 Q) p# l1 q) O: Q; E
* R- b- e' d. K) H9 X L$ z
小白:我的天啊,那我的隐私岂不是完全暴露在大家的面前了?!
' d: z) |7 V6 x7 W7 @& x1 `9 i4 [: x/ ]
/ e4 y3 O0 X7 Q- r% d: y大东:不仅如此,他们还可以连续捕获远程电脑屏幕,还能监控被控电脑上的摄像头,自动开机(不开显示器)并利用摄像头进行录像。
& u g/ t, E2 z0 F- A
, s+ P4 i2 `0 q- f4 u, p h$ [& G# R9 r1 c Q; T* ?
小白:简直是太可怕了!假如我没洗头、没洗脸、穿着邋遢衣服的样子被拍了下来,上传到网上的话……# D/ l% O& p0 k' A% _6 U2 M& r, Z; n
0 M3 O! Z+ A% U. U( G8 |8 s! d, b* w+ k
5 |* R: k6 d" s
( G$ ?: [- ` B$ l& I
3 Z. J: R' J+ s6 W* i4 q大东:emmmmm……你这个颜值估计上传了也没人看。我们言归正传,继续说灰鸽子的事。随着“灰鸽子2007”的发布,当年仅3月1日至13日,金山毒霸截获的灰鸽子变种数就达到521个。盗号、偷窥、敲诈以及骇人听闻的公开“叫卖”,危害更甚于熊猫烧香。! a' z4 o$ l# J# m/ f9 Z: _
. s. K. K8 n: v0 ^3 h' u" f+ a2 i9 c* z2 `- I
小白:这群人简直太可恶了!
5 t5 }6 a7 J1 y6 n9 j
2 j2 @3 B7 A; m- w3 i5 f
# g" z: r2 r _4 v. r大东:而且灰鸽子已不再是一个单纯的病毒,其背后是一条制造病毒、贩卖病毒、病毒培训为一体的黑色产业链,从某种意义上讲,灰鸽子的危害超出熊猫烧香10倍! 5 ]6 ^0 r; b" P( F& Z G
/ @* s, |2 J% G" y' ~: C* j# L2 C4 y% \& b
灰鸽子产业链示意图。图片来源于网络
* Q: E3 M+ B$ F# }% l! C" h6 h% t& t+ X' ~3 X
小白:东哥,那我们就拿灰鸽子一点办法都没有吗?
6 K/ Z6 [5 p! m7 r
/ L: E/ Q5 ^ }" [( R
( [ i v2 k( c大东:灰鸽子虽然强大,但它并不是完美无缺的。让我为你解析一下这个难缠的病毒。
5 [, ^- X% m& ?0 t
/ P p( K* [( n6 @! U9 G5 m/ o+ r二、灰鸽子病毒发展史% Q |# x6 R2 ?3 a) n, t! d3 e/ d8 B
4 ~: k2 ^+ Y" z3 L( u9 ? B5 r: \3 M% J' X) i
大东:先来说说灰鸽子病毒的发展史吧。/ \- A) T. l4 ~. N
" V' Q: P( `$ b* X- ?: g7 a3 @
* q/ u- r2 ?: D5 n小白:好呀,我最喜欢听历史了。
6 h v. C9 A4 j( j2 X' T8 ~; u8 d" O ~" z; s% P
4 `* Z: _: C, y4 Z, R; {( h M0 Z大东:灰鸽子病毒发展分三个时期:诞生期、模仿期、飞速发展期。
& z4 c3 ?; Z! J( {" T8 r! X( y3 K8 g3 i O
1 H8 k% @4 N7 S2 ^& C3 K- y5 G小白:先说说诞生期吧。& G7 u+ o, a! G D
3 I! |6 {. Y9 ?+ K9 P1 T
1 w M2 a3 ]# F# I/ P
大东:诞生期自2001年,灰鸽子诞生之日起,就被反病毒专业人士判定为最具危险性的后门程序,并引发安全领域的高度关注。2004年、2005年、2006年,灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒,灰鸽子也因此声名大噪,逐步成为媒体以及网民关注的焦点。
' y2 s' T, C7 u r$ N) w
1 O T* A" p# k7 ?5 g
% l6 U( ]9 X2 j& B& k, j- z小白:最具危险性的后门程序,听上去很厉害嘛。) p, b" {1 R5 H6 t* ~; m- I/ O
. I8 }, G$ `5 {/ P+ Z# D+ H
; d \8 J& s2 ^- p大东:模仿时期,灰鸽子最早出现的时候是在模仿“冰河”。它采用Delphi编写,采用了源码共享的方式出现在互联网。虽然“灰鸽子”在当时的名气不及“冰河”,但由于开放源码的方式让“灰鸽子”逐渐增大了传播量。
6 V. J p( t+ i/ O6 A0 Z" V) r/ {' d7 l7 T
3 r/ f. N0 A6 d2 Y( ^' A小白:这么说来冰河是灰鸽子的“前辈”啦!那冰河也是远程控制软件吗?4 K4 l, e/ ?. x5 O- K
& s7 P8 }1 [; E) i8 \4 m- B# e7 w0 T2 M v6 ?. p' d& N( t$ n5 M
大东:是的。冰河的可怕之处在于自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入、记录各种口令信息。还包括获取系统信息,例如计算机名、注册公司、当前用户等多项系统数据。远程关机、远程重启计算机、锁定鼠标及锁定注册表等多项功能限制也是他的拿手强项。9 G% t: ?8 @# \3 Z8 p- A( N7 D
: @5 w9 W% o1 i/ _8 O* l
0 S, Z: N/ v" J3 u; R1 G. N) g! ~
小白:说远了,该说灰鸽子病毒飞速发展时期了。
& e, ?8 Q: u, w) q$ ?
7 c4 a/ s8 K. J/ A1 q3 h* _8 M# m, b" J. d
大东:2004和2005这两年之间,灰鸽子逐步进入了成熟的状态,由于源码的释放,大量变种在互联网中衍生。2004年灰鸽子总共发现了1000多变种,而在2005年,这个数字迅速上升到了3000多。4 i$ b# a+ d7 b+ W0 r
6 b5 y3 Z& p3 A0 P1 l- C) i
8 p5 H$ Q W/ I9 s3 T" x8 I小白:变种也太快了吧?!
5 e. L7 h" q* W
, }9 f4 s$ _% B2 P$ D9 W. A0 f3 n3 r: B/ ]) \
大东:“灰鸽子”最大的危害在于潜伏在用户系统中,由于其使用的“反弹端口”原理,一些在局域网(企业网)中的用户也受到了“灰鸽子”的侵害,使得受害用户数大大提高。2004年的感染统计为103483人,而到2005年数字攀升到890321人。“灰鸽子”本身所具备的键盘记录、屏幕捕捉、文件上传下载和运行、摄像头控制等功能,将使用户没任何隐私可言,更可怕的是服务端高度隐藏自己,使受害者无从得知感染此病毒。
! {* Y- R, {. i3 B2 O+ s2 K9 F. B, |4 L9 T* c- {2 E" W
: l8 ?5 d. G- V. G4 X$ X小白:令人害怕!' G ]- L9 s1 R: |4 [8 a
( k* L5 K/ q/ u0 u- t* _三、灰鸽子病毒清除办法
9 t: y! Y* d7 t0 y+ F4 T
. N5 m" F8 z2 A# Y' V. j
5 y' V2 Y, I9 _大东: 但是利用一些检测方法就可以将灰鸽子揪出来。通过研究发现,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子服务端。
+ c* N& m Z3 K- p0 m, O7 \3 c' u
- @' a% v( k, q; \8 Y
$ G' ?" O- R( _% Q小白:那是把“_hook.dll”结尾的文件删掉就可以吗?
) J) {& ?& u |- ^6 A- g! D# ]
8 Y: x+ G3 _% o- {# }( l" m+ f( r! N/ h
大东:当然不是那么简单。由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行,而且要把Windows设置成显示所有文件。并打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。经过搜索,在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。
0 x1 X/ [$ E# R3 o; E5 o) r; S7 W5 }0 I. K$ ]
7 B% ^( g' f9 ]0 r- ~! z小白:这就是灰鸽子文件了吧!, u; v- m T0 A3 J4 T$ l. q- y6 Y' D
+ m& O4 y+ ]+ Z; q
: }! L7 B8 C6 L
大东:还不能确定。如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。这才是真正的灰鸽子的服务端,不能“冤枉”好人啊!) f5 D2 h7 b1 C1 }
, B* N5 {, f3 k' {1 t
k1 J" S$ h, [3 T, {& BGame.exe和Game.dll。图片来源于网络
" J6 D4 ]1 Q6 m
# u( i; _0 i: _6 A7 C7 W% J# Q! x3 a9 R7 h, F2 T7 Z
小白:原来是在这样。把这几个文件删除就可以和灰鸽子病毒say goodbye了吧!
# ~& i2 A/ M. L" B, e+ ^; |) }1 @. [# o8 {6 l: U2 v: [
1 g2 q7 g! v' x0 L. W; W' ]
大东:总共有两步,这只是其中的一步。首先清除灰鸽子的服务,注意一定要在注册表里完成。清除灰鸽子的服务一定要先备份注册表,或者到纯DOS下将注册表文件更名,然后再去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联。
+ u9 ^! Q# E2 T {5 k; t0 }& X& `2 ?4 T6 M! T1 w
3 x: ^- \5 z+ ]' v" v# x; c
小白:东哥,具体应该怎么做啊?教教我呗。: {% y% @* ]+ l; t4 ~
( P$ n- G0 E) k) P' S1 g& }' c, r# ~5 C; n, q/ O# ^
大东:第一步打开注册表编辑器(点击“开始”- “运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。第二步点击菜单“编辑” “查找”—“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server,每个人这个服务项名称是不同的)。第三步删除整个Game_Server项。
1 F1 E5 P6 x3 s Y; b0 q ( a+ {) _/ F. v
3 m& T* @( @# g
查找game.exe。图片来源于网络 4 v v X5 p6 V7 _- z' D0 |$ a
+ ^% D: i7 Q# ^+ N
小白:这其中的第二步是不是就是我刚才说的删除Game.exe和Game.dll。3 T7 |- i z* ^! O
$ J& V* |+ N8 t8 c" }; w$ u, x. [) n. D
大东:bingo!你只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机,就彻底告别灰鸽子病毒了。
9 I# R: y; H$ c
! y, _. I7 Y8 d7 k四、防范措施0 z! I/ o y) |# m. i
- F$ M2 ~- [, a" @3 A H小白:东哥,那该如何防范灰鸽子这类病毒呢?1 `4 }- T' ~- k/ q- g3 s. t' e
3 w; D. v( D% J: f# p7 e& A; P% w, W: l( v1 v
大东:有些办法虽然有些原始,但总是最好用的。比如说给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack)。$ X$ P. T) |6 X- @" P
& v" h; t2 L( @5 r" C
' C& v' P' P$ B7 e$ g' E1 Q6 Q" Z小白:东哥,我们老说打补丁,补丁的专业解释是什么呀?我们为什么要定期打补丁呢?
) x y9 R' [3 u+ n! F8 }+ E0 F7 x
3 X$ s Y- c" S l$ q
$ E$ C. `/ M4 }1 T1 i大东:补丁就是操作系统的不定期错误漏洞修复程序。一般在开发过程中,一开始有很多因素是没有考虑到的,但是随着时间的推移,存在的漏洞问题会慢慢被发现。这时候,为了对系统本身存在的漏洞问题进行修复,系统开发者会发布相应的补丁。黑客如果利用这些漏洞,就可以得到计算机的控制权。9 o/ K- @# I u' v; t+ r
) l# F# Q7 D- C: g& _
2 [' i. `1 R6 p; Z6 @# T/ u7 y" a
小白:东哥,还有类似的“原始”方法吗?
9 i, i# ^$ z) x$ g 9 G f8 X, A+ ?
, O7 o0 p6 D* D: z
- B; d9 K4 x: ?- Y" g4 S+ X5 F
$ Y4 y( y3 ]7 ^0 x5 B" x! H大东:给系统管理员帐户设置足够复杂足够强壮的密码,最好能是10位以上,字母+数字+其它符号的组合;也可以禁用/删除一些不使用的帐户。如果记忆力够好,经常改变密码也是也是个不错的选择。
h. ^9 S4 j1 m" p/ g8 o5 G$ O* R2 S. e2 X. W. l
9 ^& h+ }5 W( E, ~+ x' O/ }2 B
小白:对,比如说我就经常换密码。
& m- P; j; X0 c1 a% C3 ]6 L4 J; U5 o3 K8 o! \$ g$ R
$ _% Z3 Y6 C4 V7 n% d% K! l/ p# c
大东:哎,不过你也总是忘记密码。不过单纯地讲,换密码这个习惯还是不错的。
- O+ {2 a6 B( [" G& Y. ^! h2 o: J6 J' ]8 s. H: N. d
: [& T: A& n% t K. R小白:东哥,你总揭我老底,就不能给我留点面子嘛?
" ~" S& y8 e \' v5 u& r
( I7 \+ v+ D' O5 {" ? x2 m3 ~
2 ^3 ?' d3 ~$ x, q/ I: v大东:(装作听不见的样子) 嗯,我们继续说防范的方法。经常更新杀毒软件(病毒库),安装并合理使用网络防火墙软件是十分必要的。网络防火墙在防病毒过程中起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。9 d! }: D& j7 m& I. B
3 o5 z2 c' c1 w8 C0 u M
5 }9 ]3 r+ e5 ^) f2 k( n小白:东哥,还有吗?
( h/ I8 H0 I8 S8 A/ ] {, g! s+ \$ a7 n9 O' T) Z0 U
$ t: M" O3 ?4 J+ L+ c
大东:关闭一些不需要的服务,条件允许的话可以关闭没有必要的共享,也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。4 H) Q: `5 D2 l6 t
/ s2 |: v1 V7 Z/ K1 L! y8 `3 H$ ^% g2 t2 {5 E
小白:懂了。东哥,通过你刚才的讲解,我回忆起来了许多东西。, {2 r+ ?8 I1 `6 D: U" H5 W- ~
R; j0 c' Y' W; E( o6 {) P3 W. T* J
大东:温故而知新嘛!9 l2 c3 b( r1 b1 t
5 y% ]7 s4 a. q2 T# h
5 Y( d* p3 h" G+ X
来源:中国科学院计算技术研究所
$ N( G6 ]2 I* v/ E" T$ K) x+ H# u6 k( M
& D# O$ f, ?5 _5 k% }6 ]5 a温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」
2 Z8 C: E- [+ i# d
9 V8 L3 ?0 G# j* c% Y8 f( M5 {( g9 M
; E. }% [$ y: _; [- B; @* n ~- m: m c" ]1 P
9 A) A. q8 h. p1 @0 \$ [1 l+ }
 1 j; F' n% k2 @9 i! Q/ J
! v& ]# E# u( a4 N5 P+ o* H
来源:http://mp.weixin.qq.com/s?src=11×tamp=1574510402&ver=1992&signature=Tvxe-dv0Pli2WOy8jx6-Hw7rnv9HYpasycZdOiA27ix8cPjxnROs0K1kkvdUU-4qOv15U3svsKSNcI-QAj5BtJGG0rX5r4iFdLPgzGOu9EXoWlxVCaXxE1chtktOJjK2&new=1
& y% o2 P! Y/ ^1 d+ P% B免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-11-23 20:40:29
