|
|
一、灰鸽子病毒事件
# Z, ]: I0 W. ?6 b# n, g1 _5 V
+ r+ x7 f6 U4 v, J* W& i+ j
$ D& s% O9 l- f, j$ y小白:东哥,我最近弄了个新鲜的东西,可以远程控制我家的家电,例如空调,电视,冰箱……# f- g1 o A. }* e' J: e
' C8 P" [( p2 D
+ a, m2 A( Y6 r9 G1 x2 l大东:嗯,这个不错!
* Y5 j; o v9 e. h& p
4 W; C8 c. Y: U! Q$ C' S# b" Y4 G: ^; o$ u
手机远程控制空调。图片来源于网络
7 C. M7 \) g+ V
/ Y) w# x' a3 O. e( n0 H* l! h' U4 l7 F/ v" e7 e* Z8 a
小白: 是啊,最便捷的是有手机、有WIFI就可以实现远程控制功能。
* t3 S9 G: C7 m1 ?/ x; J9 o& }' |2 w% a/ v3 ?* D: _
0 Q- f0 a: Q1 c! R o
大东:等一下,便捷中往往隐藏着“邪恶”,你可要小心灰鸽子病毒啊!6 o7 I. K( O, L9 F
: c4 q' {: W& S6 E5 L# V
; `# o# o6 B; K2 H* ]( d# F) @小白:灰鸽子病毒?
' b; ]" z% Q L g( t
# e2 v2 P6 B, \; J, L/ p. X: L6 ?! b2 _; a8 g U4 Y
大东:是的。灰鸽子本身是一款远程控制软件,但是因为恶意使用,又被认为是一个集多种控制方法于一体的木马病毒,一旦用户电脑不幸感染,可以说用户的一举一动都在黑客的监控之下,要窃取账号、密码、照片、重要文件都轻而易举。3 v, U6 L7 h! o `1 {1 ]5 {
1 K; c9 h' C# a. }7 e! [! v# Y( E
( o- H' D$ f2 x0 B$ ]" ?, _小白:我的天啊,那我的隐私岂不是完全暴露在大家的面前了?!
6 G) K& m% d4 Q- I8 Y% P9 z, }
1 m7 z9 H# Y7 _
大东:不仅如此,他们还可以连续捕获远程电脑屏幕,还能监控被控电脑上的摄像头,自动开机(不开显示器)并利用摄像头进行录像。5 a3 Z1 c$ s3 ^7 p; i
/ P3 m) H: U7 ~' Z
, {! v" _' h/ N: F- Z( O
小白:简直是太可怕了!假如我没洗头、没洗脸、穿着邋遢衣服的样子被拍了下来,上传到网上的话……
7 ~3 y/ i2 s2 r f) Y
9 B) H5 i2 N: ^) z6 I7 j' s% |* T0 F* C9 p& s+ i
* c3 H& e) y; v$ u- m3 K+ X
0 e" Y2 m Z* ]$ ?$ a大东:emmmmm……你这个颜值估计上传了也没人看。我们言归正传,继续说灰鸽子的事。随着“灰鸽子2007”的发布,当年仅3月1日至13日,金山毒霸截获的灰鸽子变种数就达到521个。盗号、偷窥、敲诈以及骇人听闻的公开“叫卖”,危害更甚于熊猫烧香。( b% ^) ?1 `6 |2 _
& Y) y6 v1 i+ n: w' G+ V* \* ?3 C& U$ O4 z- G
小白:这群人简直太可恶了!
/ b' X3 h; w$ p6 G4 {6 I& ]0 D" ^8 {2 p; x- c' l3 p$ F! h( r' d
4 k& Y; o& u3 v$ n& f大东:而且灰鸽子已不再是一个单纯的病毒,其背后是一条制造病毒、贩卖病毒、病毒培训为一体的黑色产业链,从某种意义上讲,灰鸽子的危害超出熊猫烧香10倍! 0 B a3 W/ S& X$ t' w
- k: {, ?( ~9 k! V: p- i$ E$ L) O' c0 O! \$ V" C( S& H
灰鸽子产业链示意图。图片来源于网络
" Y% V( w5 h4 ^& S8 r! b4 j
& A) y, h- C4 \, x4 @7 L1 Y/ l小白:东哥,那我们就拿灰鸽子一点办法都没有吗?! a' q3 m2 [6 q- h, j
9 q" i2 o6 T/ ^- O/ ]2 a* B2 u2 ?; U& o1 D: A/ U- ?
大东:灰鸽子虽然强大,但它并不是完美无缺的。让我为你解析一下这个难缠的病毒。" Z9 \, E9 ]5 |+ j0 N- t& m
8 B* X% |7 W$ Q2 |2 B
二、灰鸽子病毒发展史
: j4 C0 p8 r R; Y4 L# ?8 o
* E2 a3 k5 V9 A) a/ ^! q- ^+ ]+ ^7 ?; ~; p
大东:先来说说灰鸽子病毒的发展史吧。 l1 W* t# Z5 \
" d1 T% v. ~5 G8 K7 r. F" J2 V& R6 S" ?, H
小白:好呀,我最喜欢听历史了。4 O+ B. g& m% U3 Q
( W- I; k D% d; R2 B
2 i3 |" W2 G6 f# w
大东:灰鸽子病毒发展分三个时期:诞生期、模仿期、飞速发展期。
/ y5 r2 e$ w0 l- I' e- [! }. M0 I# U5 z" h; T, J
$ U& d( t' ~; M3 q0 L& R- e6 d: ~
小白:先说说诞生期吧。/ p w* B5 b; c4 |, l+ p' ~# {
1 o1 `9 l, _- _7 e0 `( t6 o# V
$ G1 u4 @2 z/ q7 H w/ F大东:诞生期自2001年,灰鸽子诞生之日起,就被反病毒专业人士判定为最具危险性的后门程序,并引发安全领域的高度关注。2004年、2005年、2006年,灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒,灰鸽子也因此声名大噪,逐步成为媒体以及网民关注的焦点。
0 [7 |5 |$ o" `* w- F' M; R$ L+ f0 N2 v: K
: Y) S0 ~' A* G3 E2 z小白:最具危险性的后门程序,听上去很厉害嘛。
% O& e& y5 t* O! Q- e; ~7 i; ? @8 Q6 K/ F5 B* c
- b9 l3 l, _" H1 v/ v大东:模仿时期,灰鸽子最早出现的时候是在模仿“冰河”。它采用Delphi编写,采用了源码共享的方式出现在互联网。虽然“灰鸽子”在当时的名气不及“冰河”,但由于开放源码的方式让“灰鸽子”逐渐增大了传播量。
: ]& n6 k3 Q1 x
- P' i7 z/ K+ p! a3 x6 ?# s% b$ N/ c, P7 [* W! j
小白:这么说来冰河是灰鸽子的“前辈”啦!那冰河也是远程控制软件吗?
1 Q h+ p+ R; M7 H
2 K! g9 G" R- F, G- V) |9 Y/ Z+ X; v9 Q6 f7 M
大东:是的。冰河的可怕之处在于自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入、记录各种口令信息。还包括获取系统信息,例如计算机名、注册公司、当前用户等多项系统数据。远程关机、远程重启计算机、锁定鼠标及锁定注册表等多项功能限制也是他的拿手强项。 R' h+ j# N$ P* p$ o% k* e! b% I
. H& O. a0 f" \" H
9 s" J. {8 y0 k# X
小白:说远了,该说灰鸽子病毒飞速发展时期了。7 q7 _/ D4 V$ c( C/ f$ n
: M4 l& F9 z. ^5 { A6 B8 ^2 b* X' H8 Q4 y6 o0 x. @
大东:2004和2005这两年之间,灰鸽子逐步进入了成熟的状态,由于源码的释放,大量变种在互联网中衍生。2004年灰鸽子总共发现了1000多变种,而在2005年,这个数字迅速上升到了3000多。
7 G: q$ @1 A9 _, k
% E- Y/ e% o x
( _; ?2 o b2 k" l9 P小白:变种也太快了吧?!4 y% W0 U+ c9 `7 e3 W: ]3 R' ~
3 l! P$ n, j3 b' S4 y- a1 g, m' o* p) f1 W) \& |. {2 a' Q
大东:“灰鸽子”最大的危害在于潜伏在用户系统中,由于其使用的“反弹端口”原理,一些在局域网(企业网)中的用户也受到了“灰鸽子”的侵害,使得受害用户数大大提高。2004年的感染统计为103483人,而到2005年数字攀升到890321人。“灰鸽子”本身所具备的键盘记录、屏幕捕捉、文件上传下载和运行、摄像头控制等功能,将使用户没任何隐私可言,更可怕的是服务端高度隐藏自己,使受害者无从得知感染此病毒。
2 r8 k- K1 u7 A2 W
" g+ {" j1 d- O! ?8 ]& ^* }9 ~! S3 T5 d9 H# i7 J- i" F
小白:令人害怕!* G( } ^9 g1 ~
: B9 \) l- o2 ]: z三、灰鸽子病毒清除办法) u; q+ e/ K) M( J8 V6 c
) |3 R4 {9 i' O r' N* F- v! q
' q; s3 O3 Z+ R0 P大东: 但是利用一些检测方法就可以将灰鸽子揪出来。通过研究发现,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子服务端。
) Q; E4 V( R1 O3 _2 R$ X9 E: e4 S$ N7 u% t% A' m: k
' `; O; O( W- k/ v" J3 T* b小白:那是把“_hook.dll”结尾的文件删掉就可以吗?, Q2 m/ b8 s/ \8 J2 u4 s
- a. d3 }! G5 j$ n0 ~
/ |: W M& M& x& P大东:当然不是那么简单。由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行,而且要把Windows设置成显示所有文件。并打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。经过搜索,在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。
5 B3 }# T8 g0 r$ `- A8 f. `" X& o5 h$ y6 z
( C! z% u2 P; K! s) e/ t小白:这就是灰鸽子文件了吧!% W8 |; ?6 b6 r; w! W: Z1 m$ V
7 C1 X: T* S8 v, V
/ E- Z; ^8 K8 E* s% s大东:还不能确定。如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。这才是真正的灰鸽子的服务端,不能“冤枉”好人啊!: J# v$ w: }, X* A
% _' O: Z: z$ H0 u$ k2 b, x }7 [! @; e
; W+ @/ @ S# y" I4 UGame.exe和Game.dll。图片来源于网络
4 }9 M# G# D; D8 M! H! `' _ _5 q; v7 Q8 G7 a4 W0 }+ e _
' [; {' H- @6 U
小白:原来是在这样。把这几个文件删除就可以和灰鸽子病毒say goodbye了吧!
, w6 e0 Y, k' ~) L* ?- w; p0 F9 `$ @: p$ M; P0 D E
, n3 t) M& d4 R3 o大东:总共有两步,这只是其中的一步。首先清除灰鸽子的服务,注意一定要在注册表里完成。清除灰鸽子的服务一定要先备份注册表,或者到纯DOS下将注册表文件更名,然后再去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联。
: V& L0 N# E3 l% R7 c2 A9 W# V
3 t- v( ~9 L8 o# C& w- n
9 f! K" s6 ~+ H( S9 I4 `0 C# x! [小白:东哥,具体应该怎么做啊?教教我呗。
: q8 K: G- L/ I
0 m @" e- K9 k: n# O+ h- n; n% J+ D1 M' z2 M
大东:第一步打开注册表编辑器(点击“开始”- “运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。第二步点击菜单“编辑” “查找”—“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server,每个人这个服务项名称是不同的)。第三步删除整个Game_Server项。/ q( e/ P# v$ c! z4 ]
9 a# d2 C. s1 z, Q L2 v" f* H
; k5 \7 Q$ Z! O9 a* y查找game.exe。图片来源于网络
M5 j: N- ^9 Z% N) Q6 g3 w1 U% H) x7 A, b/ G' S1 a- ^; a
小白:这其中的第二步是不是就是我刚才说的删除Game.exe和Game.dll。
' k A1 V0 {7 r' b! e9 @4 v. y- z) y9 e
1 B$ s/ p3 M% e! U- W3 K大东:bingo!你只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机,就彻底告别灰鸽子病毒了。
% R5 j/ S% t7 `) {1 X. T/ ~- `
3 k- m) c* V3 o四、防范措施
4 I7 {* ?0 V! }5 l; u% q& |3 i) y I4 t1 M8 X5 Y9 c# Q: r
小白:东哥,那该如何防范灰鸽子这类病毒呢?" r/ w1 h6 y+ a5 c- O% d
/ @$ t" ]2 I3 l- R* |+ e
) o2 Q8 N0 V4 ^! X$ g6 w
大东:有些办法虽然有些原始,但总是最好用的。比如说给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack)。; n, S5 y2 `$ \" y: Y: M
( z; U6 ~) V: n8 M1 z
; s5 G0 c" g4 J* ^5 z
小白:东哥,我们老说打补丁,补丁的专业解释是什么呀?我们为什么要定期打补丁呢?
7 @% ^' k/ @3 I3 A$ X' Z
: N0 g- a& T" ^) X1 F6 w/ ^$ H* s9 r2 @1 A1 Q8 T, |5 |$ Y3 ^! R9 m
大东:补丁就是操作系统的不定期错误漏洞修复程序。一般在开发过程中,一开始有很多因素是没有考虑到的,但是随着时间的推移,存在的漏洞问题会慢慢被发现。这时候,为了对系统本身存在的漏洞问题进行修复,系统开发者会发布相应的补丁。黑客如果利用这些漏洞,就可以得到计算机的控制权。) u. S$ [' P; s4 V( l( s" V( m i
+ N( _9 Q: B" N3 r$ _8 A, Y" n6 Z. S( U
小白:东哥,还有类似的“原始”方法吗?% {* D. n( j4 [0 N+ Q- @$ _
% p% ?& ~/ d! P5 W2 q# D0 b0 u
3 J/ ^# g. v ^
9 P. e3 y* Q) @( `
# v% X, r& w E, c/ w! V9 n
大东:给系统管理员帐户设置足够复杂足够强壮的密码,最好能是10位以上,字母+数字+其它符号的组合;也可以禁用/删除一些不使用的帐户。如果记忆力够好,经常改变密码也是也是个不错的选择。
2 S( S; I! J% ], i
2 B1 K* [0 d, U, n; |$ p1 K- @$ X
, y% s: a; C( p8 E* D5 j+ u" M小白:对,比如说我就经常换密码。
( F- b M7 c5 }! i5 X, p+ ^% k3 Z5 g$ y% m+ [
, C1 c, C8 ?9 e* r大东:哎,不过你也总是忘记密码。不过单纯地讲,换密码这个习惯还是不错的。- w2 {4 B/ I. L4 f: M. ]# f
8 Q5 Y4 {) V' h% @3 c, O3 B. {( ^/ d8 x
小白:东哥,你总揭我老底,就不能给我留点面子嘛?) M* _# Y- i5 X6 s# I
2 r+ ?2 E& e6 f$ S( v! y/ J# r' S" x7 b9 F, [ g
大东:(装作听不见的样子) 嗯,我们继续说防范的方法。经常更新杀毒软件(病毒库),安装并合理使用网络防火墙软件是十分必要的。网络防火墙在防病毒过程中起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。
0 j( @( y% B0 I) s2 O: P. a! n4 z2 C0 H+ S
3 s0 [, T; j8 ^4 ~
小白:东哥,还有吗?
- ~5 t: Y3 h& ^0 D$ e; C% n+ k- e
. t1 J% }4 R) d) E9 n# E% W: u& O
& Z, r# G8 V2 {- f9 d大东:关闭一些不需要的服务,条件允许的话可以关闭没有必要的共享,也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。
1 u) q- l- x o( e" O& A7 L# ~4 O2 S$ G' p7 D0 ~! ^
# C6 \3 T3 P; m4 z( i! q' p) S- q小白:懂了。东哥,通过你刚才的讲解,我回忆起来了许多东西。
2 r$ y1 c: T5 e* l
) I, ]% E) _. ~7 q" G' a
; m) Z. W; P+ A; j大东:温故而知新嘛!
* z$ @5 ^& O* A2 X7 A- I
( U( g+ X3 c6 e/ p. [6 ~9 A3 k" G4 x6 w* s- { e
来源:中国科学院计算技术研究所! ^' Z5 o/ c2 H4 J" o6 x& E: y
( {& E9 b2 H' b8 T
1 A- u" O2 j+ L8 j3 H/ i9 Z5 K+ E2 q温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」
- t: T: ]) }3 W1 E. p
4 p I+ l% @. R1 m( ?0 j
& v+ w% q( U& N, p5 w0 Q# C
$ @- |9 {* t0 |, }6 C- V; x X' W
% |2 o0 t* J* K; m * Y4 V! D2 r; k! o% w* Y
5 T1 {8 a' I6 j0 [: R
来源:http://mp.weixin.qq.com/s?src=11×tamp=1574510402&ver=1992&signature=Tvxe-dv0Pli2WOy8jx6-Hw7rnv9HYpasycZdOiA27ix8cPjxnROs0K1kkvdUU-4qOv15U3svsKSNcI-QAj5BtJGG0rX5r4iFdLPgzGOu9EXoWlxVCaXxE1chtktOJjK2&new=16 h/ m; C/ t$ J4 p1 {
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-11-23 20:40:29
