|
|
一、灰鸽子病毒事件. { n! g6 L5 X
H! ^5 x5 ?) Y
3 l5 \4 N; J5 b$ L小白:东哥,我最近弄了个新鲜的东西,可以远程控制我家的家电,例如空调,电视,冰箱……
3 M0 U$ k4 ?1 b/ U |
& b3 X& U8 F8 r
% Y0 H5 s6 m; ]1 p$ C) F; R5 v/ l大东:嗯,这个不错!
. }0 s s2 u2 b) Q
2 C: U \: s: }. W8 J B0 d$ Y( P, \' C6 @" r
手机远程控制空调。图片来源于网络
7 c% _; i; B- ~5 q) G# H
% s9 i3 E+ f- T2 D4 t1 }# ?, E# k) U i% w0 J! _
小白: 是啊,最便捷的是有手机、有WIFI就可以实现远程控制功能。/ h9 k4 e' a( ]* z0 S _
, J4 t& T6 V }- O: g
* }( M, m, `6 h) R* p4 x大东:等一下,便捷中往往隐藏着“邪恶”,你可要小心灰鸽子病毒啊!
6 ^! x/ t) V3 B
0 P1 G% O7 l$ \ g6 I
4 h0 V1 v" {& @9 N6 V小白:灰鸽子病毒?: M2 ?* ^3 b, i9 y
! Y s0 o* ]7 m
[- g h$ Q* R# s Q
大东:是的。灰鸽子本身是一款远程控制软件,但是因为恶意使用,又被认为是一个集多种控制方法于一体的木马病毒,一旦用户电脑不幸感染,可以说用户的一举一动都在黑客的监控之下,要窃取账号、密码、照片、重要文件都轻而易举。
: H3 E0 {' W4 ]6 X
$ I; c6 D9 |+ n, n' l+ u2 T; _5 y- d# _# a9 Y/ v- {
小白:我的天啊,那我的隐私岂不是完全暴露在大家的面前了?!: |& t& V: b& _ Q! J# `& I' ?
3 p( |! L1 K5 {8 F9 F
$ ]/ t7 V8 r" g: N& `0 f
大东:不仅如此,他们还可以连续捕获远程电脑屏幕,还能监控被控电脑上的摄像头,自动开机(不开显示器)并利用摄像头进行录像。/ h6 O. I' B5 P: R- G. A7 a. ~
6 [) Z: |, ~7 {, i" M# ~
m) H( i. M" q3 I% m( D- }. z1 b* U小白:简直是太可怕了!假如我没洗头、没洗脸、穿着邋遢衣服的样子被拍了下来,上传到网上的话……
# a* E/ |$ N, y* H( t
9 a* y4 x, }7 R. ?5 B+ {
) U/ D( K" V5 {1 Y' k4 Q/ t5 B# ~. v/ a' m
- s( m8 p) W: c: K大东:emmmmm……你这个颜值估计上传了也没人看。我们言归正传,继续说灰鸽子的事。随着“灰鸽子2007”的发布,当年仅3月1日至13日,金山毒霸截获的灰鸽子变种数就达到521个。盗号、偷窥、敲诈以及骇人听闻的公开“叫卖”,危害更甚于熊猫烧香。8 b# r/ Q+ d* K
6 d6 w; y! c% L: k
$ l& }4 X8 P2 s. P: i( G
小白:这群人简直太可恶了!3 P, `, Y7 P* W `
9 T* d3 f) X! X% M9 f6 |1 ~4 N
: i1 }5 i: v. y6 l9 d6 [$ h
大东:而且灰鸽子已不再是一个单纯的病毒,其背后是一条制造病毒、贩卖病毒、病毒培训为一体的黑色产业链,从某种意义上讲,灰鸽子的危害超出熊猫烧香10倍! * D% W o7 M& }& l! n9 m' @% F
3 ^- m5 I: ?) c! ?* ?" y- [7 A7 k3 Q3 v- a: N/ r6 Q: [& B. r
灰鸽子产业链示意图。图片来源于网络
) Y! ]3 O+ q1 o
; o5 j* t l& e" y0 t- p小白:东哥,那我们就拿灰鸽子一点办法都没有吗?& }3 |6 b% g3 F$ w* {; |
/ V& L# L( z3 O3 m$ j, w' ?: K. s! ?
大东:灰鸽子虽然强大,但它并不是完美无缺的。让我为你解析一下这个难缠的病毒。
/ d; a4 q' [! q5 j i3 ]# B9 G# B . M0 j1 O) I. C9 l, h; @# H
二、灰鸽子病毒发展史
( h/ v9 i6 g* M* I( Q1 o _7 s
( _7 Y- u9 U2 \! t) F
7 D6 s% \. x7 A5 X* x: k大东:先来说说灰鸽子病毒的发展史吧。8 Y& x2 J9 m* m# Z) F; l
6 W% r) ]" |% H" @
( K0 q) z" B! o# c* h" m0 v小白:好呀,我最喜欢听历史了。 c: w" l# H7 L) W4 `( m1 k9 j' b
6 J2 J) k7 n D. L0 p
$ g2 J7 {8 A8 N# J' {大东:灰鸽子病毒发展分三个时期:诞生期、模仿期、飞速发展期。
+ d& y" J9 U2 Q% D2 `
9 K( S- ~3 |$ d3 }( c- H+ Z
% Z4 e' O' q- w v: J* k# I小白:先说说诞生期吧。+ ~0 S. B/ W3 U$ T2 D
3 u3 L' j @- j$ N$ N; S- O
4 D' ~' K% o% E) c& F$ u大东:诞生期自2001年,灰鸽子诞生之日起,就被反病毒专业人士判定为最具危险性的后门程序,并引发安全领域的高度关注。2004年、2005年、2006年,灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒,灰鸽子也因此声名大噪,逐步成为媒体以及网民关注的焦点。! A0 O( J x6 r: G" v. p
( x4 C T# a. {+ _
A# v0 a3 G' p, F0 v小白:最具危险性的后门程序,听上去很厉害嘛。
, X [. o! y5 O4 c( i
- G7 m% `% {) a( J6 B; s- c2 o$ |5 @' R. B! Z
大东:模仿时期,灰鸽子最早出现的时候是在模仿“冰河”。它采用Delphi编写,采用了源码共享的方式出现在互联网。虽然“灰鸽子”在当时的名气不及“冰河”,但由于开放源码的方式让“灰鸽子”逐渐增大了传播量。! y5 O8 U/ J) i; _! _. W
: S$ r* _ n/ L. B% D& `
' [: v; a' R- K* K! O
小白:这么说来冰河是灰鸽子的“前辈”啦!那冰河也是远程控制软件吗?
" K6 R! }; z1 G! `! ]
1 |" J4 c0 l2 h8 C1 } {
/ F" \: \8 `: e3 ~/ L# n大东:是的。冰河的可怕之处在于自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入、记录各种口令信息。还包括获取系统信息,例如计算机名、注册公司、当前用户等多项系统数据。远程关机、远程重启计算机、锁定鼠标及锁定注册表等多项功能限制也是他的拿手强项。
1 c6 X% r& M6 [/ {. y, z2 @. a1 S
2 n8 N9 B* a; B' f4 T小白:说远了,该说灰鸽子病毒飞速发展时期了。$ x2 L' D5 A2 a2 [. q
9 [2 ?1 [9 b" A( I8 j9 S) C0 R( z( B; v) ~/ \0 X* f7 p
大东:2004和2005这两年之间,灰鸽子逐步进入了成熟的状态,由于源码的释放,大量变种在互联网中衍生。2004年灰鸽子总共发现了1000多变种,而在2005年,这个数字迅速上升到了3000多。2 T& d$ ]6 y0 ]( g" m
* H& ~) Y+ ?% X( m
* ?) _9 Q7 ~7 A$ Z) F小白:变种也太快了吧?!+ Q# i! j; L& ^% M
+ ?1 h5 P: Z4 [3 x8 X- E' y
! R7 b" A8 W( p* H% z
大东:“灰鸽子”最大的危害在于潜伏在用户系统中,由于其使用的“反弹端口”原理,一些在局域网(企业网)中的用户也受到了“灰鸽子”的侵害,使得受害用户数大大提高。2004年的感染统计为103483人,而到2005年数字攀升到890321人。“灰鸽子”本身所具备的键盘记录、屏幕捕捉、文件上传下载和运行、摄像头控制等功能,将使用户没任何隐私可言,更可怕的是服务端高度隐藏自己,使受害者无从得知感染此病毒。) R3 E% D9 ~9 b4 S' h/ \
$ P3 Q5 c) H7 t, A' t
4 H2 z S9 q8 e小白:令人害怕!
% R( R: ^/ k6 r- \: G& w" N0 q: C - \& M- T( w# V+ ~& _
三、灰鸽子病毒清除办法
* } r% A2 {* F% T
( V9 A/ P, t( s3 F
# `- c% O1 S3 W& p( {$ F大东: 但是利用一些检测方法就可以将灰鸽子揪出来。通过研究发现,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子服务端。
4 Z8 M4 m! l) k
1 i6 P) v' |4 _8 M! q' W% X3 K) {& m5 {. `/ ]2 X- G$ r! _. n
小白:那是把“_hook.dll”结尾的文件删掉就可以吗?
! r' a r- Y8 N( p7 {0 k; M7 F4 z; s* v6 \! F% E3 H
" v: e: `5 x3 b大东:当然不是那么简单。由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行,而且要把Windows设置成显示所有文件。并打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。经过搜索,在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。
$ a; K, |( t2 B7 S( ~( U+ O0 P' F
' ^; ^& R* i% R$ T S9 J! A+ |& c
7 r |; V) g) K) A7 ?& o) w7 i$ F* m* {% f小白:这就是灰鸽子文件了吧!
/ _. r7 f! P9 F! |' h/ N/ C8 i- |% W
* F! |+ T$ \' V0 x2 O O6 y
大东:还不能确定。如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。这才是真正的灰鸽子的服务端,不能“冤枉”好人啊!
3 T$ ?' a; n* c" I+ X, ~" G 5 B# q) \% t( p: q$ i% {1 [- s
& o5 G! m$ q5 ?9 VGame.exe和Game.dll。图片来源于网络 8 K7 X! P& c. M0 v# e0 o
' I0 j- y% k3 R/ M1 ?* j# W4 q2 m& w0 d( U" ]( @% u- x( F6 f
小白:原来是在这样。把这几个文件删除就可以和灰鸽子病毒say goodbye了吧!& ]# A4 E2 G4 I6 Q6 A7 x7 l# c
8 V- ?# F$ P1 v2 E; r4 p3 n& a: Y. ^* @& \
大东:总共有两步,这只是其中的一步。首先清除灰鸽子的服务,注意一定要在注册表里完成。清除灰鸽子的服务一定要先备份注册表,或者到纯DOS下将注册表文件更名,然后再去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联。
# ]) V8 @+ A; @; t- S! x: G9 F K! D$ I. [0 X- B
& y$ _: ?2 v) ]. R$ [, `0 n小白:东哥,具体应该怎么做啊?教教我呗。
& |8 w+ l$ o3 m* @( z: L
- ~8 t0 L: }8 m1 m( M! B k( ?; W4 t
大东:第一步打开注册表编辑器(点击“开始”- “运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。第二步点击菜单“编辑” “查找”—“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server,每个人这个服务项名称是不同的)。第三步删除整个Game_Server项。
; p& J" C1 U" X4 C% T3 f) O" R
2 [7 K, y7 ]* f* v! c! g1 T$ Q' Q1 n6 y4 t& J1 N" g
查找game.exe。图片来源于网络
0 q3 B, B$ w& Z, p" ~+ m7 ^6 N" A* h B3 h
小白:这其中的第二步是不是就是我刚才说的删除Game.exe和Game.dll。
3 p" a, K+ h% a& M4 b/ S6 t
3 u5 E7 C5 ^' s! y2 O4 B, ^; y' t" k6 w& R3 p
大东:bingo!你只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机,就彻底告别灰鸽子病毒了。
+ ?4 u/ g2 N. b" _' g% C; p
0 s) f* N7 L% ^- b x/ x }( g5 F" s四、防范措施
0 M* Y3 j: }+ Q; Y2 r6 Z- {% h
1 y" j# [, r4 e# S1 e) @) M( k小白:东哥,那该如何防范灰鸽子这类病毒呢?8 B( Y3 Q+ N. @7 K( [, N% [: J
[! Y0 Q4 b1 c( W$ g. K
( `' _% A& ?8 k( v c4 \% z
大东:有些办法虽然有些原始,但总是最好用的。比如说给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack)。, n# W/ j- y5 N3 q2 A# l
7 {( F& Q; {' @2 v0 q4 l/ z; N4 d! Y8 f
小白:东哥,我们老说打补丁,补丁的专业解释是什么呀?我们为什么要定期打补丁呢?
[' u2 I+ o3 g2 ?. K
6 ?& I% ?. ^1 z+ T
4 Z5 T" _5 I$ G大东:补丁就是操作系统的不定期错误漏洞修复程序。一般在开发过程中,一开始有很多因素是没有考虑到的,但是随着时间的推移,存在的漏洞问题会慢慢被发现。这时候,为了对系统本身存在的漏洞问题进行修复,系统开发者会发布相应的补丁。黑客如果利用这些漏洞,就可以得到计算机的控制权。* u; f' b: J$ n+ ?7 x0 B0 m
* N& z* _& C1 V' H8 _ }
7 T5 p( U( N4 p1 H% s6 _$ L3 K f小白:东哥,还有类似的“原始”方法吗?
}3 o5 v$ D1 l3 R+ j# \) ~: n2 {
! @1 L8 {8 ?6 g7 [ o9 t, y8 I4 i( E) M/ R1 R2 j* m/ c7 s" E
9 Z) Q0 y0 Q( g# A' V
* e5 V( W8 Y0 y. N% e0 A
大东:给系统管理员帐户设置足够复杂足够强壮的密码,最好能是10位以上,字母+数字+其它符号的组合;也可以禁用/删除一些不使用的帐户。如果记忆力够好,经常改变密码也是也是个不错的选择。; U0 q$ o, D# U
9 P4 i+ C& y/ X5 j" a! V& A
. P$ w1 ~2 R0 v小白:对,比如说我就经常换密码。) z7 o0 X8 k. K8 {
7 B9 ^& \2 ]2 R4 j) @9 J0 ?# H7 N
" i# a @! p) J
大东:哎,不过你也总是忘记密码。不过单纯地讲,换密码这个习惯还是不错的。
8 _4 F# Y4 M" _- `
( l/ V y4 q( t4 M- x8 @. I6 D, K; |/ W( v& W/ Q) Y
小白:东哥,你总揭我老底,就不能给我留点面子嘛?
- [* S$ i5 z3 T4 U/ {& j! r9 }; m7 E; B
9 ?& |* f( R1 R
大东:(装作听不见的样子) 嗯,我们继续说防范的方法。经常更新杀毒软件(病毒库),安装并合理使用网络防火墙软件是十分必要的。网络防火墙在防病毒过程中起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。
2 @) i7 C- m0 V5 z# G; Y* j7 ~. g+ S- V* J
( M0 `. Y5 x) A2 }
小白:东哥,还有吗?6 e& w0 V& C( \5 V( Y0 ~
$ [- i. ^& d# B( Y, ^) G2 [' ~
) g' S, B; w6 M4 K/ ]大东:关闭一些不需要的服务,条件允许的话可以关闭没有必要的共享,也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。- q) ^! e4 |4 I5 D
: ?, @0 e% S0 G# V) z+ R0 x I* o6 A+ \4 g- f
小白:懂了。东哥,通过你刚才的讲解,我回忆起来了许多东西。, t4 s. o% q* V1 b2 H. }, J9 i
3 B- M! N! O ]5 F# q- }' e
3 {4 E5 A$ ?+ T
大东:温故而知新嘛!; u* o$ r' ~; l! M9 ~
$ l4 j0 z6 f8 W3 M# T/ f# H% ~& e( `7 `: a" k9 c2 K% J$ o: M5 }
来源:中国科学院计算技术研究所( a# q! F( o& u I2 i
+ W" P4 w K: D% Q7 i" m: o$ Z: V: o5 O# |% A5 }6 j
温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」
7 S9 D; I [0 V" N7 f) j, {
" L+ k. J& w$ z+ _8 `+ |% n! |" D5 g( V7 x5 l
9 ?9 B! `+ @* h7 s# B
* ]! N1 I& V% V & Y" @6 _" O3 N* v
; I$ |% O' z( L& X3 f
来源:http://mp.weixin.qq.com/s?src=11×tamp=1574510402&ver=1992&signature=Tvxe-dv0Pli2WOy8jx6-Hw7rnv9HYpasycZdOiA27ix8cPjxnROs0K1kkvdUU-4qOv15U3svsKSNcI-QAj5BtJGG0rX5r4iFdLPgzGOu9EXoWlxVCaXxE1chtktOJjK2&new=1
6 ^ c7 p4 t/ L6 d免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-11-23 20:40:29
