|
|
一、灰鸽子病毒事件4 `/ t8 T; @( B1 A
/ G' @9 q2 Q$ g) K7 l- i& m% }
小白:东哥,我最近弄了个新鲜的东西,可以远程控制我家的家电,例如空调,电视,冰箱……
, f( {$ K S+ k0 l4 R5 A# E0 l8 P1 F" S) T, t8 C) `) W9 ^
8 [* J7 Q7 i8 d! b: z9 |1 a/ Y
大东:嗯,这个不错!
1 y# f! y9 ~. a1 L4 `( {8 I2 r d q. k . U# c) W, ]9 l5 t! z2 B0 U
/ B \; f/ Y$ D' Q. x9 K! v. ^
手机远程控制空调。图片来源于网络
1 F7 {% a1 w) H9 F, l5 K9 d9 L
( X0 n2 e* P; J1 v3 U! r2 l" z
! m! z- K, t, o小白: 是啊,最便捷的是有手机、有WIFI就可以实现远程控制功能。
3 e; W! o5 g# U5 j0 z* @ F8 {: E; D
8 R4 u6 H7 s' j- n5 w% L7 g
大东:等一下,便捷中往往隐藏着“邪恶”,你可要小心灰鸽子病毒啊!
# x& ~& B4 i9 w6 T, H' V6 N' U3 N4 H4 ?8 d- r$ w3 R
+ ~% D" l; b L+ v- \+ p, I
小白:灰鸽子病毒?* m4 m( e3 _4 i2 \
3 ~ O# S# f1 l P# N1 _7 T7 V
* Y1 q' ~# P4 O9 s
大东:是的。灰鸽子本身是一款远程控制软件,但是因为恶意使用,又被认为是一个集多种控制方法于一体的木马病毒,一旦用户电脑不幸感染,可以说用户的一举一动都在黑客的监控之下,要窃取账号、密码、照片、重要文件都轻而易举。( s8 _7 E/ T- ^4 c* D6 T# [
) L. Z9 j* C. j4 o/ g, e( ]
7 B' S. ]1 |% W2 E* B/ m& u: \小白:我的天啊,那我的隐私岂不是完全暴露在大家的面前了?!
3 t$ h( g/ X+ E; a; d
4 V! p" L( O1 C9 h$ t! t- j! D, ?/ B0 @( }8 B6 m
大东:不仅如此,他们还可以连续捕获远程电脑屏幕,还能监控被控电脑上的摄像头,自动开机(不开显示器)并利用摄像头进行录像。9 I0 L/ i: m% m: c) z
# m4 V4 S0 G2 d" k4 S
. u+ E, u& `. h0 R. d. [
小白:简直是太可怕了!假如我没洗头、没洗脸、穿着邋遢衣服的样子被拍了下来,上传到网上的话…… [9 @! e& T- i3 Q8 S4 U
( Q/ S; `, i3 P9 ^, r5 R# K: h* O3 D: U( q4 \" r
9 o- g6 A3 O- c6 o, a: K; V, X5 P/ z! z% Y: D9 n' z! H
大东:emmmmm……你这个颜值估计上传了也没人看。我们言归正传,继续说灰鸽子的事。随着“灰鸽子2007”的发布,当年仅3月1日至13日,金山毒霸截获的灰鸽子变种数就达到521个。盗号、偷窥、敲诈以及骇人听闻的公开“叫卖”,危害更甚于熊猫烧香。
& I) V# Q0 `. I, i: C
8 I. W9 d' h H$ ^- j3 m* Q4 u
6 y: t9 g" G! f小白:这群人简直太可恶了!
' u- Y: l2 C- Y; H& z% k& \
P9 |: h" m: `5 n O! p
* O. y# `7 R K5 N大东:而且灰鸽子已不再是一个单纯的病毒,其背后是一条制造病毒、贩卖病毒、病毒培训为一体的黑色产业链,从某种意义上讲,灰鸽子的危害超出熊猫烧香10倍! 0 A1 R+ [# w6 r) h) C0 ?& r
) O2 e/ x& k: N9 b* K+ X9 g
: v# m* w1 V9 G' [9 W3 c* n1 r7 d灰鸽子产业链示意图。图片来源于网络
) y2 w3 d& g% R, p2 t
0 [( {& p% d6 C) t9 x小白:东哥,那我们就拿灰鸽子一点办法都没有吗?+ j% O4 @$ `2 P9 u+ ]3 i* l
5 z* E( @& V2 U: ?+ Y; [! ?. c* ~( a
大东:灰鸽子虽然强大,但它并不是完美无缺的。让我为你解析一下这个难缠的病毒。% t2 e/ l/ y+ ~1 N0 K0 h
7 |6 Z6 i* h, H2 {; k二、灰鸽子病毒发展史
' h O. _$ ^2 h; f2 i' ~1 t
: `3 S; v8 @0 v9 p' r$ T* }+ u2 ^, Q) \' S5 @
大东:先来说说灰鸽子病毒的发展史吧。" }% A6 y' O; R
# y- B; m* t, Y" m' Q$ S7 l( W( g
+ }! X# ~' C/ c9 {小白:好呀,我最喜欢听历史了。$ ], ^& x" z) Q" n& Y. I
$ t- {: Y5 C R! K, L! f, B. D' o4 w. I+ O+ S# s* P2 s
大东:灰鸽子病毒发展分三个时期:诞生期、模仿期、飞速发展期。6 L P4 C) D( j) m
# R( o! a* N. t3 g* ?) w
( ^7 a6 w' C, n/ y' @( @$ y. a% X小白:先说说诞生期吧。
8 d2 s& |0 w3 n4 N' L4 N+ n$ A- X9 @3 ~% L% f
) c( W& ^2 P/ K* k: m0 Q, ]; O9 x5 ~大东:诞生期自2001年,灰鸽子诞生之日起,就被反病毒专业人士判定为最具危险性的后门程序,并引发安全领域的高度关注。2004年、2005年、2006年,灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒,灰鸽子也因此声名大噪,逐步成为媒体以及网民关注的焦点。
1 m. a1 O$ L" n& |. [8 n, [. r0 N/ a
2 ~+ h; j7 D' r小白:最具危险性的后门程序,听上去很厉害嘛。
9 e2 K9 n4 M, K" {7 O9 z/ ~% S7 W- J
, M& j9 I' E, I7 J) _大东:模仿时期,灰鸽子最早出现的时候是在模仿“冰河”。它采用Delphi编写,采用了源码共享的方式出现在互联网。虽然“灰鸽子”在当时的名气不及“冰河”,但由于开放源码的方式让“灰鸽子”逐渐增大了传播量。
/ m9 d# j* f3 j& ]
* p* Y: g0 n4 e/ A# R9 }4 `! Y; v4 E+ `& D# Z- F: ~" v
小白:这么说来冰河是灰鸽子的“前辈”啦!那冰河也是远程控制软件吗?
+ V8 q& G$ {5 ?) @
6 Z% {( y! N% o G& F1 G0 X6 ^" b
# r& q! v0 z, N% v大东:是的。冰河的可怕之处在于自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入、记录各种口令信息。还包括获取系统信息,例如计算机名、注册公司、当前用户等多项系统数据。远程关机、远程重启计算机、锁定鼠标及锁定注册表等多项功能限制也是他的拿手强项。
, l1 F$ s$ Z2 m$ h$ m$ ~/ a0 V, i: e* [
# u; R) K+ x! x) x; M4 W% s
小白:说远了,该说灰鸽子病毒飞速发展时期了。. S+ @5 q" j1 v6 a
0 ~: Q3 V' x H: w$ t
! R, W6 a: r% w/ ]) }8 c5 J大东:2004和2005这两年之间,灰鸽子逐步进入了成熟的状态,由于源码的释放,大量变种在互联网中衍生。2004年灰鸽子总共发现了1000多变种,而在2005年,这个数字迅速上升到了3000多。0 D5 [( n& s2 q$ _. q* ]5 n
% f; t+ D& A% p& D7 Z# A# ]$ O
2 I" L4 n |1 c. e, Q# p小白:变种也太快了吧?!& @# K# q4 r% ?9 f( ?
. _5 @# l& U( s, ?8 G- G1 j) v3 ~& l
大东:“灰鸽子”最大的危害在于潜伏在用户系统中,由于其使用的“反弹端口”原理,一些在局域网(企业网)中的用户也受到了“灰鸽子”的侵害,使得受害用户数大大提高。2004年的感染统计为103483人,而到2005年数字攀升到890321人。“灰鸽子”本身所具备的键盘记录、屏幕捕捉、文件上传下载和运行、摄像头控制等功能,将使用户没任何隐私可言,更可怕的是服务端高度隐藏自己,使受害者无从得知感染此病毒。3 `& D; R1 y# I# W# d' A. M
5 C; `5 N0 J2 j/ ^6 l
. W* M" E% z/ C小白:令人害怕!3 i5 k7 O" Y" a+ F; J
4 K' \/ R- d/ K; }9 o$ w
三、灰鸽子病毒清除办法
, G9 k9 G; @( H! T
4 {6 Q6 V- ]# \1 p8 y% Y% m( _
7 J! ~3 X' n6 w7 }# k7 V5 Z大东: 但是利用一些检测方法就可以将灰鸽子揪出来。通过研究发现,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子服务端。 F [0 N% e7 J8 R w
. l+ G! W4 d8 l2 e6 `. ]3 h
& }' h3 A! B3 d8 ]- S6 }
小白:那是把“_hook.dll”结尾的文件删掉就可以吗?
& s0 z2 S* P# w. M; c' S) ]: b" ~& `+ |; B/ q
! u% O v# n+ Z5 {( _/ d5 M" E大东:当然不是那么简单。由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行,而且要把Windows设置成显示所有文件。并打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。经过搜索,在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。* N! d+ V1 [6 [: R
0 C% E' V2 N! b/ {
2 D+ u# |, n* R3 \ @9 A3 T小白:这就是灰鸽子文件了吧!
9 @" a* ^& B7 q$ Y
" Y/ P( Y b) v3 \6 d
- H8 |1 G% \. o: w& y; y$ _9 K/ d) V+ |大东:还不能确定。如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。这才是真正的灰鸽子的服务端,不能“冤枉”好人啊!# y! @) u# R" g+ V( H6 J
- Z: _; ~! ]4 B. M: m$ V- P6 C: {* `0 V) {! t. T/ A" d8 S
Game.exe和Game.dll。图片来源于网络
1 q* v6 h2 ~8 r. h' Z' K2 m2 @! |- A M
* @% k9 U! E7 b! ^1 a$ W小白:原来是在这样。把这几个文件删除就可以和灰鸽子病毒say goodbye了吧!
' a2 u) V" |& |* \* ?: H/ r9 n; f7 m& s) f* n
. ]2 O/ t/ \2 r' l E* v! z( r0 R+ s大东:总共有两步,这只是其中的一步。首先清除灰鸽子的服务,注意一定要在注册表里完成。清除灰鸽子的服务一定要先备份注册表,或者到纯DOS下将注册表文件更名,然后再去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联。- G% s% [" U) J% Z1 L& m7 \
) w! y( c1 t0 f4 i3 D9 Q
5 _% ^- }( c/ r1 q& C7 }
小白:东哥,具体应该怎么做啊?教教我呗。3 E3 `* S4 d- r5 V, V6 U
( p# M" w4 y5 q/ S* w4 d9 p d
" R ^, N8 p: P8 ?
大东:第一步打开注册表编辑器(点击“开始”- “运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。第二步点击菜单“编辑” “查找”—“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server,每个人这个服务项名称是不同的)。第三步删除整个Game_Server项。+ ?# X; Y8 ?6 g
/ X' H |- a# x% Q: I+ `' _
9 R! j1 R( t5 A4 f; D3 n4 W k* f
查找game.exe。图片来源于网络
: l& w% v2 H" h! r# l6 a+ [( r
7 _' |! @# Z2 d5 H7 c# r% o+ ]小白:这其中的第二步是不是就是我刚才说的删除Game.exe和Game.dll。
# B0 M/ E# C) D- H; j, V
9 h! S! f9 r0 x+ f
. a2 [- ~* c* c8 l. d- ?' u3 o" [大东:bingo!你只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机,就彻底告别灰鸽子病毒了。* |, x3 y! Y/ D" R3 R
* j) y# m. J/ V; I2 T9 s8 M四、防范措施: D. n% o$ r, U, d
+ S" f% ^/ j! n) J1 B/ y$ N; ~; \ c3 ?3 B/ |
小白:东哥,那该如何防范灰鸽子这类病毒呢?
N2 I; b% l' K
( O: f5 g* b2 l9 s+ E! ]; a: a$ V# p# s4 |3 T/ s. f) o; a
大东:有些办法虽然有些原始,但总是最好用的。比如说给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack)。+ V( w) P$ E1 n8 a4 p. l1 c! ]. S% S7 X
% g2 i/ K+ n, E% R" x' q/ l
; ^' ^4 Y- v2 D i2 x6 m
小白:东哥,我们老说打补丁,补丁的专业解释是什么呀?我们为什么要定期打补丁呢?
, q, ?- V& ^8 f9 j" P9 B
1 ~3 V! B" x5 J6 ^
6 d+ S& C7 h) e大东:补丁就是操作系统的不定期错误漏洞修复程序。一般在开发过程中,一开始有很多因素是没有考虑到的,但是随着时间的推移,存在的漏洞问题会慢慢被发现。这时候,为了对系统本身存在的漏洞问题进行修复,系统开发者会发布相应的补丁。黑客如果利用这些漏洞,就可以得到计算机的控制权。
3 i9 g$ g U3 h
( T ~8 q8 y/ r, q) t' e8 R
) r1 O9 I7 s" N# r小白:东哥,还有类似的“原始”方法吗?. |4 _0 h: T0 O8 ]8 Z
: M5 B7 ^5 I) U" g0 {2 Z, p( o
' V& f. `( u8 L5 P
2 @- Q, [: l0 R4 j8 [- p
. t. f2 y. a% s" k: s5 z, ~* N$ S大东:给系统管理员帐户设置足够复杂足够强壮的密码,最好能是10位以上,字母+数字+其它符号的组合;也可以禁用/删除一些不使用的帐户。如果记忆力够好,经常改变密码也是也是个不错的选择。/ O/ a t4 R5 ~7 |; m! J2 r* N5 g
2 H& c4 K) A- \5 b1 o
% b& ~$ M4 N, J1 ^小白:对,比如说我就经常换密码。
4 `, l0 a8 |4 H1 Y. E2 y
& \; `$ ]* @' O+ f. k1 {+ Y, o$ L, q) s. }( R
大东:哎,不过你也总是忘记密码。不过单纯地讲,换密码这个习惯还是不错的。
$ v( H" K4 l7 m2 h3 e3 C
, s+ [! g0 A$ z" @6 O
- x1 l' f2 `' H- z3 W小白:东哥,你总揭我老底,就不能给我留点面子嘛?/ l& y) B0 p+ Z$ W* Y% j( }. @
* P7 o( E0 N% D# T2 [" x! B
, W5 O2 s4 d2 B: G: w1 J
大东:(装作听不见的样子) 嗯,我们继续说防范的方法。经常更新杀毒软件(病毒库),安装并合理使用网络防火墙软件是十分必要的。网络防火墙在防病毒过程中起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。
1 W7 E S6 \& V7 G- n8 b. J4 Q3 o+ e- V, ]- v+ O
5 y2 N* w$ f' c0 B& e0 ^; `
小白:东哥,还有吗?
, ?+ a8 E+ x: w# G8 b; i" `* }8 _% I2 X
7 H9 @, T. s% @7 Y5 e大东:关闭一些不需要的服务,条件允许的话可以关闭没有必要的共享,也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。
# H4 U6 Q/ N# E7 V# X8 T: u$ c" t
+ M+ W; a H0 P( _% p6 |
小白:懂了。东哥,通过你刚才的讲解,我回忆起来了许多东西。" m2 Z: P$ a. S: z
. x% @5 P; s' B& @: p) W
6 W% f% L) A* B& M! d大东:温故而知新嘛!+ T& o0 u8 r0 p
1 I% f' w9 z1 T4 ^
' [/ C" z+ c+ R! @3 V* X来源:中国科学院计算技术研究所
' m5 v2 Y/ b/ p0 n5 U% ^4 a2 K3 L, d# u1 a+ m+ }; F
$ h6 v9 u: p4 K/ E, |" ~5 F
温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」# q; R$ Z; l+ | k
3 I0 Q3 o7 W! B9 g5 ~8 p
7 v1 x9 D3 }: l8 ]: f6 K
! _# B* Y7 b2 M1 E* ]
4 T4 K9 V* E; C k3 B
9 x1 O; d' d2 g8 V g1 g* {: X1 W( v" P# D2 V
来源:http://mp.weixin.qq.com/s?src=11×tamp=1574510402&ver=1992&signature=Tvxe-dv0Pli2WOy8jx6-Hw7rnv9HYpasycZdOiA27ix8cPjxnROs0K1kkvdUU-4qOv15U3svsKSNcI-QAj5BtJGG0rX5r4iFdLPgzGOu9EXoWlxVCaXxE1chtktOJjK2&new=1/ t4 u, d4 `& ~
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-11-23 20:40:29
