|
|
一、灰鸽子病毒事件
q, n4 b5 P4 @9 O' p( z% C
) ^* S8 f0 Y7 |' R. I1 s# y* N) y0 L6 J* U+ p! i. `
小白:东哥,我最近弄了个新鲜的东西,可以远程控制我家的家电,例如空调,电视,冰箱……8 {) e5 j( e. _* ?1 T" y4 J2 s
$ S' L# y) s' }0 ?3 @
" S% w% x9 e3 ?8 Z大东:嗯,这个不错!% V' b1 ]* c. R( R! w7 F5 R
( d: A" }" w& S4 f2 m
% s( _& ?! |; m7 {! P手机远程控制空调。图片来源于网络
& d) w/ [( X4 {& c) t* _# l
* Y$ Y# _+ K' x. f3 Z. B
2 Y3 u+ u) w- Q" q; E5 K4 p小白: 是啊,最便捷的是有手机、有WIFI就可以实现远程控制功能。
6 t& h0 E! F* b& I4 x
8 j, B5 r) j; a- n3 W$ i& ~4 q- T
5 A& p: |2 `6 G4 V- W- E: ?大东:等一下,便捷中往往隐藏着“邪恶”,你可要小心灰鸽子病毒啊!
/ M: T+ f' e! ~% q. @1 a2 A1 t4 I2 b
7 H Z7 y" P5 A; I1 Y
. x: u4 S8 m' r: g. c小白:灰鸽子病毒?
6 z5 L9 _ Q) E$ F" c9 v; h5 f# P/ ], R$ a! ^
% V" W7 O5 v! K% e( B
大东:是的。灰鸽子本身是一款远程控制软件,但是因为恶意使用,又被认为是一个集多种控制方法于一体的木马病毒,一旦用户电脑不幸感染,可以说用户的一举一动都在黑客的监控之下,要窃取账号、密码、照片、重要文件都轻而易举。# g8 e$ G4 `, \* a( e
* x' P; `6 _- C" J! G
3 |. a( G6 I* g* ^; e. M8 h小白:我的天啊,那我的隐私岂不是完全暴露在大家的面前了?!
* t, b* p& c, X) b' D( }! K0 S/ U( b4 S
% G! @7 X9 y3 Q: b
大东:不仅如此,他们还可以连续捕获远程电脑屏幕,还能监控被控电脑上的摄像头,自动开机(不开显示器)并利用摄像头进行录像。4 u" s0 J& ?: g; f: ^4 a/ |
5 b0 O+ R' W7 N8 _
$ l. Y" f* u8 _9 q9 A3 K
小白:简直是太可怕了!假如我没洗头、没洗脸、穿着邋遢衣服的样子被拍了下来,上传到网上的话……& T$ r' C( A# l$ Q9 T# U7 V) D/ @$ `
; n$ Y* [& k# R) O5 I
( v1 l5 d- v# a {( y! O* u+ T: I: d- o
$ |- v5 h9 Y3 I% g9 q4 s+ D: ^9 E# C. F* C2 X& b
大东:emmmmm……你这个颜值估计上传了也没人看。我们言归正传,继续说灰鸽子的事。随着“灰鸽子2007”的发布,当年仅3月1日至13日,金山毒霸截获的灰鸽子变种数就达到521个。盗号、偷窥、敲诈以及骇人听闻的公开“叫卖”,危害更甚于熊猫烧香。
. \4 |$ \. p2 \, u1 E" I
9 @7 i( m3 i% e5 @
7 I/ x" X% m+ \3 r; i4 e小白:这群人简直太可恶了!/ l* |0 @9 b9 v
# p" e9 H4 C; E
! F8 m2 i/ R& K w M) D# w大东:而且灰鸽子已不再是一个单纯的病毒,其背后是一条制造病毒、贩卖病毒、病毒培训为一体的黑色产业链,从某种意义上讲,灰鸽子的危害超出熊猫烧香10倍!
+ B S$ k% {4 J1 f4 z' m7 u+ @ ' e7 g" Q" L% {. a, a5 R5 M3 w
. _, \+ X E7 T3 a, T8 n7 s5 q
灰鸽子产业链示意图。图片来源于网络 & K- v ~; I1 k+ Q2 } p2 z3 ?# Y
3 c8 J3 |4 C) R8 |1 c* ?8 l小白:东哥,那我们就拿灰鸽子一点办法都没有吗?% _) n, n/ N* A
6 ^( W$ [: K$ Q& x1 A* j) h/ S
# \: O2 U( M ?2 t ]( ]5 D; w; k( U大东:灰鸽子虽然强大,但它并不是完美无缺的。让我为你解析一下这个难缠的病毒。5 Y$ a: c% V& |/ a M" |& M5 S
2 P# a2 H, N- s+ Q7 m0 V$ f二、灰鸽子病毒发展史
/ E2 N: [" ~, ~1 D, [! Q$ A* g( ~+ o
1 b# u9 d& q0 w3 F' N) T( m& }
大东:先来说说灰鸽子病毒的发展史吧。
! \; Z, k6 B V8 Q
; Y1 P ]; Y. n( }7 i! I$ H' G2 f! c& p& o" ?6 l9 _! a- D3 P
小白:好呀,我最喜欢听历史了。 B) k {! z+ I6 Y
2 @$ z) a' }/ a4 i9 X7 x. N: j' K8 n! @9 _
大东:灰鸽子病毒发展分三个时期:诞生期、模仿期、飞速发展期。
5 ]; w8 ~8 k7 o: j$ l; \2 c; H* K3 F$ t; q9 p$ I* j
1 `8 [# w/ u; L4 C
小白:先说说诞生期吧。
8 a9 K o9 }8 _8 ~ W% E7 p2 p- s3 V! m- r
! @( N p3 c: C' a
大东:诞生期自2001年,灰鸽子诞生之日起,就被反病毒专业人士判定为最具危险性的后门程序,并引发安全领域的高度关注。2004年、2005年、2006年,灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒,灰鸽子也因此声名大噪,逐步成为媒体以及网民关注的焦点。
- c0 P- L5 p- h! P4 {/ f0 S! i5 P5 U! ~: m/ Z6 h
& L5 [, E9 t- t( e) j3 N& Z- V. T小白:最具危险性的后门程序,听上去很厉害嘛。
4 F0 E5 e* I1 o' ~* F$ c: s! j7 c" @% @
! ?% C5 I' [1 y2 m9 j c
大东:模仿时期,灰鸽子最早出现的时候是在模仿“冰河”。它采用Delphi编写,采用了源码共享的方式出现在互联网。虽然“灰鸽子”在当时的名气不及“冰河”,但由于开放源码的方式让“灰鸽子”逐渐增大了传播量。- p2 C4 C: }. R- i
) z) |. X2 I# ?" ~0 r5 u, c9 E
* Y8 @6 D0 ^7 \5 K! K% r小白:这么说来冰河是灰鸽子的“前辈”啦!那冰河也是远程控制软件吗?5 m$ o" Q/ ]: B9 l' _3 ^
4 m! P2 y5 x, m7 n
: T6 S+ P- C# x2 I! `$ Y' \- S大东:是的。冰河的可怕之处在于自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入、记录各种口令信息。还包括获取系统信息,例如计算机名、注册公司、当前用户等多项系统数据。远程关机、远程重启计算机、锁定鼠标及锁定注册表等多项功能限制也是他的拿手强项。3 V9 ?1 | J8 U3 B
3 o- I( ^9 i7 }
+ @) `6 t2 s0 w4 c4 F/ Y$ ?! j9 h. ]
小白:说远了,该说灰鸽子病毒飞速发展时期了。0 o S' [+ B1 k; N/ @3 c9 m' `7 P i
' g& k1 U, ?) u8 V i& u2 y# G0 Y4 R6 z+ d7 P
大东:2004和2005这两年之间,灰鸽子逐步进入了成熟的状态,由于源码的释放,大量变种在互联网中衍生。2004年灰鸽子总共发现了1000多变种,而在2005年,这个数字迅速上升到了3000多。7 |: l! y3 Y0 s3 k8 l! w5 P
5 G" e5 Y, J O M. ^- Z1 e
' U; y. T$ y7 p, T) {- J* E5 b
小白:变种也太快了吧?!2 V6 U- \6 }+ \' |8 \0 D
, ]1 W4 q8 r3 d* U& ^6 O
+ q$ b3 M A* m$ ~) e& @大东:“灰鸽子”最大的危害在于潜伏在用户系统中,由于其使用的“反弹端口”原理,一些在局域网(企业网)中的用户也受到了“灰鸽子”的侵害,使得受害用户数大大提高。2004年的感染统计为103483人,而到2005年数字攀升到890321人。“灰鸽子”本身所具备的键盘记录、屏幕捕捉、文件上传下载和运行、摄像头控制等功能,将使用户没任何隐私可言,更可怕的是服务端高度隐藏自己,使受害者无从得知感染此病毒。
& B6 l5 {1 L6 J/ |' z
% h- r& ]5 S% @
8 ]( |1 I# c. G' E小白:令人害怕!
! {; ?/ I3 m2 |3 [2 @6 x$ S
( ]1 \3 B7 A; v! G6 H三、灰鸽子病毒清除办法
, ? q! {2 B9 [3 X' H& G6 I5 m: P6 A- E( l' E: S
* Y- A9 j; y }- [大东: 但是利用一些检测方法就可以将灰鸽子揪出来。通过研究发现,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子服务端。
. R- Y7 d( C1 L! Y! w* c5 h- \, l3 S9 j5 p4 J; h9 n) E
5 H( t6 Z$ c1 C) U& ~, P
小白:那是把“_hook.dll”结尾的文件删掉就可以吗?
1 L7 y: e$ Z: r1 ^; l
- L# r* x3 i8 l7 s* t) m+ A
R8 g7 N0 E# c; M大东:当然不是那么简单。由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行,而且要把Windows设置成显示所有文件。并打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。经过搜索,在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。
1 w( N' l5 e3 k3 r8 A
7 H5 h. s; R* O1 |! @- n9 h
: i, f$ S3 E N& P5 J3 L5 S9 g小白:这就是灰鸽子文件了吧!
( Z( J4 f1 g5 y5 c, a: M/ E1 E. J9 X% ]) N: x9 c
9 l, Q0 C- c; l" E$ g6 o2 l0 Y9 \大东:还不能确定。如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。这才是真正的灰鸽子的服务端,不能“冤枉”好人啊!
+ `0 {* O9 c9 _- w% x" Q1 w / h7 A/ P9 ]! y/ M/ g% r! V
# l% I' E* Z& ~5 b( ~( @; [! d ?Game.exe和Game.dll。图片来源于网络 ; a( H1 @% j- i n/ m1 w4 r0 v8 t
% u$ O- c/ r( P2 P' ~
5 y7 k' {; \9 c: Y; ^小白:原来是在这样。把这几个文件删除就可以和灰鸽子病毒say goodbye了吧!
0 _) K: \& n: b0 ^) K* X
0 `3 l/ C. J# s: K* E) l; s) n! c# E+ V
大东:总共有两步,这只是其中的一步。首先清除灰鸽子的服务,注意一定要在注册表里完成。清除灰鸽子的服务一定要先备份注册表,或者到纯DOS下将注册表文件更名,然后再去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联。; h+ N4 [6 q! A6 o
' c9 U: h/ f1 e# d. e2 C
- W2 d+ X* i* y) [; ~
小白:东哥,具体应该怎么做啊?教教我呗。
$ C9 {% s" ^: w* f' ]3 ~! m" z4 {, T, l% C) e' C
% Z; L4 ]3 h- r# |" r8 I6 W' C
大东:第一步打开注册表编辑器(点击“开始”- “运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。第二步点击菜单“编辑” “查找”—“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server,每个人这个服务项名称是不同的)。第三步删除整个Game_Server项。
g: y7 n7 x- R0 a, V/ A - P- k: n$ z0 c* x
! Y3 d2 @4 F: G7 [1 D
查找game.exe。图片来源于网络
( B- `4 u+ e3 X# i& k4 N; U/ w' F- i' h5 p
小白:这其中的第二步是不是就是我刚才说的删除Game.exe和Game.dll。
' r# i+ V: T, @% f( |4 H, B6 z
# _5 n" }: q# L6 f2 I6 {/ J( ]大东:bingo!你只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机,就彻底告别灰鸽子病毒了。, f6 P% u7 N$ J: h, y
, U& [* z z2 H四、防范措施. _2 L9 o* O6 v) N/ ^, v
4 z$ j+ y% e6 C# c. l
小白:东哥,那该如何防范灰鸽子这类病毒呢?. }; Y4 j, W( I
& d9 ~: f( J8 N0 \ Q) ]& i3 C0 r0 u! Q9 Z* D5 _& w3 n( x
大东:有些办法虽然有些原始,但总是最好用的。比如说给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack)。- ?6 e6 Z6 m$ ^6 |$ B) a
1 J' X! f# _# ~7 E) ]6 P. R" i1 O
- f0 K7 X& c+ s5 @2 W% a. _小白:东哥,我们老说打补丁,补丁的专业解释是什么呀?我们为什么要定期打补丁呢?$ K- @% ]! _% D" n5 `
" Z- ?. T8 p# g. g( @5 N P% h, ^; y: n' X/ ]/ ]
大东:补丁就是操作系统的不定期错误漏洞修复程序。一般在开发过程中,一开始有很多因素是没有考虑到的,但是随着时间的推移,存在的漏洞问题会慢慢被发现。这时候,为了对系统本身存在的漏洞问题进行修复,系统开发者会发布相应的补丁。黑客如果利用这些漏洞,就可以得到计算机的控制权。
* V* D; U$ x) z% g
! H. z- c1 L; [% d" i4 i& L/ u9 Y5 K( ~3 F+ ?6 u
小白:东哥,还有类似的“原始”方法吗?+ d2 Q; {$ a, X
9 x3 W9 M! g6 j* M, R" ^
0 {' g5 M7 d; j! M: y+ l
3 \% t) O/ k1 F* h& ]
9 d1 I& k: R& p( q- N
大东:给系统管理员帐户设置足够复杂足够强壮的密码,最好能是10位以上,字母+数字+其它符号的组合;也可以禁用/删除一些不使用的帐户。如果记忆力够好,经常改变密码也是也是个不错的选择。- K, h- R7 D k8 G% F- g! e! C+ c
% g$ q7 g4 V& i0 _, M0 y7 y! V
1 ^9 c8 x* a# w# a& ^( G
小白:对,比如说我就经常换密码。
Y0 ~) N5 y8 K3 w- y% `+ m) k
: P7 t% N2 S- @
" Z; J2 w0 f% Q/ Y0 A- [大东:哎,不过你也总是忘记密码。不过单纯地讲,换密码这个习惯还是不错的。
" }6 p* H* E; X
) }' Q p6 y% N$ l# D( T& m
t9 e; b" i2 f1 m4 e f小白:东哥,你总揭我老底,就不能给我留点面子嘛?
7 {$ c6 m% U2 Z8 b' h! C
5 @/ y+ p8 H& r! y" X7 H1 B
' R. D; H4 m# M$ y7 }! e大东:(装作听不见的样子) 嗯,我们继续说防范的方法。经常更新杀毒软件(病毒库),安装并合理使用网络防火墙软件是十分必要的。网络防火墙在防病毒过程中起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。9 e( H, h6 q8 Z
( b/ s' V$ ]0 J% ]. I, T$ _/ n$ V4 h3 n
6 w/ x5 I6 ^7 `% P9 {/ \- x9 b/ n小白:东哥,还有吗?
# g u* i! S, N2 A& U, o
- B( i" f* `- [) E& O# J& y2 {. y5 M3 g
大东:关闭一些不需要的服务,条件允许的话可以关闭没有必要的共享,也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。
8 H# [5 i3 m) o9 N2 s. o3 @' D( S8 s
! V$ z j3 y- A
小白:懂了。东哥,通过你刚才的讲解,我回忆起来了许多东西。
8 U" \, g" [% Q& T7 n7 r- a: o" ?% K, Y
2 M9 w, R- D3 g" t: g/ u% b/ B
大东:温故而知新嘛!
9 @1 u: L3 O7 I# L
' p* [% F9 Y6 X% R/ l) B: D3 O
& d- O& ?8 Z/ S* I. i7 }来源:中国科学院计算技术研究所# j+ E2 C$ F5 Z7 @, v- K; k
3 F; s& G7 N8 L5 p: ?
+ Z/ b' H7 n& f7 H5 {( P
温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」
) \# W9 S7 R6 t' A" [; z5 l9 a
# K' J! U* {$ A7 M+ A! X( H
& Q7 E \6 Y! Y7 y5 \5 \" N* v- S" s* M1 v2 ]" l
* V% E; ]5 Z$ Y! Z7 N
- W* K( X- D; b# G: t
' f8 H* }5 b# Z7 e: O Z/ o. w" o来源:http://mp.weixin.qq.com/s?src=11×tamp=1574510402&ver=1992&signature=Tvxe-dv0Pli2WOy8jx6-Hw7rnv9HYpasycZdOiA27ix8cPjxnROs0K1kkvdUU-4qOv15U3svsKSNcI-QAj5BtJGG0rX5r4iFdLPgzGOu9EXoWlxVCaXxE1chtktOJjK2&new=1
6 k% ?1 V2 x8 c3 [免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-11-23 20:40:29
