|
|
一、灰鸽子病毒事件8 [/ C; H+ M% D+ x: N2 D
! \- L8 I8 B( Q2 F# o% p3 v2 w
2 k% E/ f L: V! a5 V& I" g小白:东哥,我最近弄了个新鲜的东西,可以远程控制我家的家电,例如空调,电视,冰箱……; R) C0 o) @: l* l* V
1 L( L! Q" D g: p& Q3 Z; |
3 x6 S& N/ d1 q- W, h; y" O2 D) P大东:嗯,这个不错!
" X) K5 @- H- t" @* L 1 h* c0 W% Y8 o0 Y- S& b" J T, }
0 g( C# a4 z* g8 {手机远程控制空调。图片来源于网络
; b- Z1 P$ ]. c" _4 b- O& V6 O5 {) ^' L3 n! o3 G$ Q
/ K6 r& m" T4 F2 A. n小白: 是啊,最便捷的是有手机、有WIFI就可以实现远程控制功能。5 l! }* k" s9 B1 R6 o- Z6 y5 ?% `
% x5 g5 E* l# b
( K5 s0 I$ c; }/ Y5 ~% n
大东:等一下,便捷中往往隐藏着“邪恶”,你可要小心灰鸽子病毒啊!2 _7 V+ B/ D1 [ q) d/ b! K3 j% P
" y' s% e; m+ f2 Y5 A( o/ e. y: @* F$ R% o
小白:灰鸽子病毒?
5 M: }# \3 _: O* C6 J9 _( j7 S1 i/ V- o2 P
; P' Q3 q( }1 X$ [. y- `) c0 n+ o
大东:是的。灰鸽子本身是一款远程控制软件,但是因为恶意使用,又被认为是一个集多种控制方法于一体的木马病毒,一旦用户电脑不幸感染,可以说用户的一举一动都在黑客的监控之下,要窃取账号、密码、照片、重要文件都轻而易举。' S2 M, |, R% i1 q& ? D3 n* d2 f
, E4 V% X Q/ Z. `# b: K' O
4 v9 E, `/ Y! G9 J小白:我的天啊,那我的隐私岂不是完全暴露在大家的面前了?!
# e) p: {/ p' v( V# _9 b" M3 J$ z" M- _$ ^$ }! D
& Q# s5 t- w3 J7 P, v5 ~! j7 P6 l
大东:不仅如此,他们还可以连续捕获远程电脑屏幕,还能监控被控电脑上的摄像头,自动开机(不开显示器)并利用摄像头进行录像。8 Q1 P M9 C" }- h, T, @
; P j3 Z3 H: H2 G) s9 P; O- n
% t5 F- x) q1 u# i; m小白:简直是太可怕了!假如我没洗头、没洗脸、穿着邋遢衣服的样子被拍了下来,上传到网上的话……4 o4 n5 D; c0 M3 v0 O6 q
" _, ~& A4 g; I. \% b& ^" M0 Q& P' v# v6 }7 f* Y" x. G( E) k1 I# h4 e
. m4 u9 u- g/ o! E* E1 Y7 l
% d( V' x( R) y9 {大东:emmmmm……你这个颜值估计上传了也没人看。我们言归正传,继续说灰鸽子的事。随着“灰鸽子2007”的发布,当年仅3月1日至13日,金山毒霸截获的灰鸽子变种数就达到521个。盗号、偷窥、敲诈以及骇人听闻的公开“叫卖”,危害更甚于熊猫烧香。
% R q, ?" l6 I. I2 h2 e% V( ~9 K) G/ R1 g9 Y' O+ _3 g5 a
2 e, ~" i' q3 `/ W/ ^5 K小白:这群人简直太可恶了!. p0 \8 M# N, f/ [/ X/ b
$ k" c( S$ R# K1 P9 R2 l" }% S, W
大东:而且灰鸽子已不再是一个单纯的病毒,其背后是一条制造病毒、贩卖病毒、病毒培训为一体的黑色产业链,从某种意义上讲,灰鸽子的危害超出熊猫烧香10倍!
8 i, y4 Q# z6 y- T8 R " J6 u) Y3 k8 ?& l) n3 u% Q
* P( E6 }2 `( o v k2 N2 u8 t+ n灰鸽子产业链示意图。图片来源于网络 . K4 c/ ~1 V: K6 O0 F# m
0 g, ~. F2 q' E% r! {# w% c! I
小白:东哥,那我们就拿灰鸽子一点办法都没有吗?
( P+ B2 _+ T, i7 } R: l- z4 i- R8 z% r0 p' f
3 Z# `5 r! A' G; ^* l6 w
大东:灰鸽子虽然强大,但它并不是完美无缺的。让我为你解析一下这个难缠的病毒。- \7 k- m, `2 i4 x9 K0 O
! B" @, A: }4 q
二、灰鸽子病毒发展史
* S# q6 N2 q* |2 e O m3 T+ W0 V1 c0 a7 _
* D. ]4 q* S% j9 Q' ]" u大东:先来说说灰鸽子病毒的发展史吧。
2 g. O- U9 L8 n/ Q& H# h. B7 K0 c9 o9 ^; j! j @8 D Y2 n+ q- T
+ `" G) ^ `( l+ m小白:好呀,我最喜欢听历史了。$ x7 z! C* ^9 B. V
/ ]2 S7 ?# p9 Q2 \& M+ q7 e
2 \1 k3 E$ O0 }) Q' s
大东:灰鸽子病毒发展分三个时期:诞生期、模仿期、飞速发展期。
: A, {$ T- Y" K# B8 Q: q* S
9 V& U+ [/ E+ z+ E! e# w3 i" q& w+ Q. f% w
小白:先说说诞生期吧。
$ h+ e7 x8 a% ~1 v/ Y. N0 y R h5 o" x: i7 }' T5 D# _
8 t% E9 c& j/ U( r! |
大东:诞生期自2001年,灰鸽子诞生之日起,就被反病毒专业人士判定为最具危险性的后门程序,并引发安全领域的高度关注。2004年、2005年、2006年,灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒,灰鸽子也因此声名大噪,逐步成为媒体以及网民关注的焦点。
" `+ f6 j1 @$ P4 A' Q: ?4 r. O9 w- @4 x6 c, O7 V/ a, D
) e8 I" j+ q7 j8 J8 W
小白:最具危险性的后门程序,听上去很厉害嘛。4 d( p8 j% m R' ]. @) n
" v" g0 g/ R! d* R ^% _% O1 s
4 H; z) {- D, n6 h, W% v; _大东:模仿时期,灰鸽子最早出现的时候是在模仿“冰河”。它采用Delphi编写,采用了源码共享的方式出现在互联网。虽然“灰鸽子”在当时的名气不及“冰河”,但由于开放源码的方式让“灰鸽子”逐渐增大了传播量。' C" ~: G: C I
: {4 |8 d* J' G
9 n" t: I7 J1 Y* q0 f小白:这么说来冰河是灰鸽子的“前辈”啦!那冰河也是远程控制软件吗?+ b% V( ]2 n! }% `6 K
# o7 t9 @, ~5 t* l% _6 b7 S
# I5 Y, h' l0 Y6 K" r大东:是的。冰河的可怕之处在于自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入、记录各种口令信息。还包括获取系统信息,例如计算机名、注册公司、当前用户等多项系统数据。远程关机、远程重启计算机、锁定鼠标及锁定注册表等多项功能限制也是他的拿手强项。0 g3 t$ U( \, e& X
3 i# z0 m9 q9 n1 X
$ o9 Y, n1 I4 q( n小白:说远了,该说灰鸽子病毒飞速发展时期了。8 `' H% }8 a3 @* O, J
/ }; D7 i/ v1 L' C
5 e% }2 h% s5 M! K大东:2004和2005这两年之间,灰鸽子逐步进入了成熟的状态,由于源码的释放,大量变种在互联网中衍生。2004年灰鸽子总共发现了1000多变种,而在2005年,这个数字迅速上升到了3000多。3 A: w7 x; D$ f: [% x
8 w4 K& S. r1 _" c
$ `$ ~. D2 h1 l& ^* j
小白:变种也太快了吧?!
* M G, ` A$ R0 f9 f6 T" y9 _' O7 P5 C, f; n# k8 J* Y8 h
+ s7 Y# U* a! y# Q0 e! g5 D大东:“灰鸽子”最大的危害在于潜伏在用户系统中,由于其使用的“反弹端口”原理,一些在局域网(企业网)中的用户也受到了“灰鸽子”的侵害,使得受害用户数大大提高。2004年的感染统计为103483人,而到2005年数字攀升到890321人。“灰鸽子”本身所具备的键盘记录、屏幕捕捉、文件上传下载和运行、摄像头控制等功能,将使用户没任何隐私可言,更可怕的是服务端高度隐藏自己,使受害者无从得知感染此病毒。2 v# }5 u1 ~" S% `; u, C
. B( p* b% Z4 v3 h c. B4 ]/ j; x2 O. ]/ f! }/ F
小白:令人害怕!+ T F9 i5 q! w. a) R) i8 o( q1 Z
7 n# o: e' z) Y& a8 T
三、灰鸽子病毒清除办法
& C9 X7 e# }+ N! f. ]- e2 w$ l1 M( Q( c' R7 q1 Q/ z
; c! t/ z( ~; Q: E3 X: o
大东: 但是利用一些检测方法就可以将灰鸽子揪出来。通过研究发现,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子服务端。# b- x& V* f( u" C8 Y4 u
+ s, {/ Y& H. P8 B6 Q4 h2 `! t
6 z" Z Q! S' S小白:那是把“_hook.dll”结尾的文件删掉就可以吗?
. X- Z* w4 _& O o. h) U3 }' p9 h% x! P" J8 o, q4 n
0 n5 i. Q& l. h/ e( ~! y6 A1 J大东:当然不是那么简单。由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行,而且要把Windows设置成显示所有文件。并打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。经过搜索,在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。) D8 ]; P8 ?% S) W: y1 a
( |1 Y; u7 G y! r! z8 N6 T% d$ v/ g' i+ }+ H
0 G# y. Q7 ~% J& u9 c+ I1 a小白:这就是灰鸽子文件了吧!
4 T' `" G# ]- \+ x( N2 J; a6 Q5 @* \: X# X( A) a
1 h+ K9 h1 H2 ^4 m# L/ p+ D
大东:还不能确定。如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。这才是真正的灰鸽子的服务端,不能“冤枉”好人啊!
) X0 T7 D) t4 g. N+ x% B' H 0 g n0 o" Q& ^. L, g: }9 C# m
8 R0 b1 ^# f5 X: } L
Game.exe和Game.dll。图片来源于网络
( u! X. r* ]2 Y C9 f- [) N
2 Z; j7 s) }) Y
/ z# H' @; W; K小白:原来是在这样。把这几个文件删除就可以和灰鸽子病毒say goodbye了吧!0 I2 Q9 f2 L0 k" Y' o# S/ r# S& }
) w+ W# [6 \2 [" @6 h) A# { n# X. J; R! B
大东:总共有两步,这只是其中的一步。首先清除灰鸽子的服务,注意一定要在注册表里完成。清除灰鸽子的服务一定要先备份注册表,或者到纯DOS下将注册表文件更名,然后再去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联。3 K# \! ^" }' F9 E
6 X8 m/ R5 N3 N
1 p7 K, C& M/ ], l
小白:东哥,具体应该怎么做啊?教教我呗。
- |( H: Q6 l6 `9 ~2 L) R8 l% l, }; `* s/ G6 a: L, a. D, p
I7 @% D R2 u( C- ]! u- h大东:第一步打开注册表编辑器(点击“开始”- “运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。第二步点击菜单“编辑” “查找”—“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server,每个人这个服务项名称是不同的)。第三步删除整个Game_Server项。) |4 B% s1 l2 @4 T4 d
9 K+ X( k+ m) i1 W& N
% q" b4 c3 u2 G7 q7 W7 d
查找game.exe。图片来源于网络
: n" X2 M( ? K7 v( u7 g, F' C& F* z. v" a& B5 r
小白:这其中的第二步是不是就是我刚才说的删除Game.exe和Game.dll。2 e. q- n0 r _
3 Z- l4 o6 S2 e1 T' u
: h1 r: _2 [4 I! T5 W& o( B大东:bingo!你只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机,就彻底告别灰鸽子病毒了。# _' x; y0 O# @) Q' \ Q q" a i9 Z
4 M5 ^( O8 [: c. \/ i3 E
四、防范措施
$ V) f' U5 a0 V# X; M" x& ^1 B- x3 ?" s7 s
小白:东哥,那该如何防范灰鸽子这类病毒呢?
9 o/ `( M. ^9 M. e( l) y T! W! ~8 {, n5 B' c
7 F5 i8 c, T* {) t/ R: s0 O9 {
大东:有些办法虽然有些原始,但总是最好用的。比如说给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack)。4 `" A) P5 g. X# [, e
1 \: z; ?- b; N y3 W$ [. C& T: I# g0 U& K4 z' t. z$ N: }& I
小白:东哥,我们老说打补丁,补丁的专业解释是什么呀?我们为什么要定期打补丁呢?
( Z3 Y% a0 P- c. @( G- |( L% k" I8 c; V/ m1 n* I0 k$ R
) u) b2 Y u! O4 c! k: y大东:补丁就是操作系统的不定期错误漏洞修复程序。一般在开发过程中,一开始有很多因素是没有考虑到的,但是随着时间的推移,存在的漏洞问题会慢慢被发现。这时候,为了对系统本身存在的漏洞问题进行修复,系统开发者会发布相应的补丁。黑客如果利用这些漏洞,就可以得到计算机的控制权。
. P& {2 g! \4 T" l7 V0 L5 U5 q$ Y' ]% N
* Y0 o* i" c1 B, g9 |: b0 ]小白:东哥,还有类似的“原始”方法吗?/ A0 i% I) h0 Y6 g' {( ~1 v
( B; `& G; v0 n9 W0 w, o
. M0 `0 P& y. x) z% e
# U% k8 i( f3 s" g6 |
! z, ^$ a! o) m( A* l5 ?7 b6 H
大东:给系统管理员帐户设置足够复杂足够强壮的密码,最好能是10位以上,字母+数字+其它符号的组合;也可以禁用/删除一些不使用的帐户。如果记忆力够好,经常改变密码也是也是个不错的选择。9 |, v' d3 }# J) ~
/ d$ w- V: r( }, ~2 y8 |. g! o0 {
& x/ t" u& f; Q# D$ C6 A! E8 {小白:对,比如说我就经常换密码。" N: e" \4 O7 M [* v$ k
4 D5 o, H( A2 i8 n
* F+ R& ~$ M) p/ _. D4 v大东:哎,不过你也总是忘记密码。不过单纯地讲,换密码这个习惯还是不错的。
( ~. L* q# B! [! c$ k. f
$ E! K+ ]8 Q Q' A, o! V
+ [" C* z( |2 r4 X; v) f' [- C# G5 e小白:东哥,你总揭我老底,就不能给我留点面子嘛?
) I/ C1 }! ^4 R' J9 \* A' ?% e) @3 j. S8 d& o
, x* w$ s) c: R% D7 R- @. [2 S大东:(装作听不见的样子) 嗯,我们继续说防范的方法。经常更新杀毒软件(病毒库),安装并合理使用网络防火墙软件是十分必要的。网络防火墙在防病毒过程中起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。
. r8 k: i& a) C) U/ W0 R/ u2 W
" T' \% E& u( Z* r, R
" [! t/ I, w/ K9 d6 D# n7 M' m4 T6 j小白:东哥,还有吗?& P/ i+ Q& @2 @
9 z( |; f/ z6 @7 v7 L$ C
- U8 I$ J: R% h大东:关闭一些不需要的服务,条件允许的话可以关闭没有必要的共享,也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。/ }$ x; y% g" _" J; a
- B" y; }: y5 _8 y
1 G- T0 L/ y' l* v小白:懂了。东哥,通过你刚才的讲解,我回忆起来了许多东西。- x2 S" o( B; n4 Y+ E) o
1 P2 `4 @6 U: G* w
9 E' M# l* R3 j4 B: @' R大东:温故而知新嘛!
, K: D# n5 Y& @4 W% }+ |" k% D B8 l
0 Q* z2 { B5 q% e8 O4 {9 e8 O: j$ v
来源:中国科学院计算技术研究所
7 n+ h: o1 {, O! G' z" c" U0 K/ O6 u! h3 c+ _8 m( s3 X G
1 a( K+ o$ t% q
温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」
; Q: l0 `( L: a' ^6 O
/ E8 `2 F e& p) W- `" k
7 Y0 b% A+ ?- t# t( ^* G4 _ `& B$ w. q; A9 P
2 G- ]1 X) x6 E/ S* o7 I : D/ L% b" k8 F; M0 O
; n$ Q _6 z. q3 X3 M0 q来源:http://mp.weixin.qq.com/s?src=11×tamp=1574510402&ver=1992&signature=Tvxe-dv0Pli2WOy8jx6-Hw7rnv9HYpasycZdOiA27ix8cPjxnROs0K1kkvdUU-4qOv15U3svsKSNcI-QAj5BtJGG0rX5r4iFdLPgzGOu9EXoWlxVCaXxE1chtktOJjK2&new=1
3 r" e7 L N: H1 \- @* V8 v* R' ?免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-11-23 20:40:29
