|
|
一、灰鸽子病毒事件$ d, j4 y$ _! J3 L: U
3 d, f5 N6 b. h& b1 U# x, n
F- R" }7 n F) e7 h, w4 Y小白:东哥,我最近弄了个新鲜的东西,可以远程控制我家的家电,例如空调,电视,冰箱……0 K+ ]2 Z+ g, L' t6 x! c, O
2 T1 G% p3 W a N7 P4 L
. _7 w0 n( L* F% w大东:嗯,这个不错!* ?: p% [+ N* g' d2 o, y5 v
( s6 d( e+ m+ U6 e+ G- n5 _7 K
8 F3 B; D0 q+ a. X: O手机远程控制空调。图片来源于网络
2 C: @$ H3 p( r7 X% W( b/ i
, P. l2 [6 F$ |! U( C" w* a8 X/ ~
) W9 N% ]* g( e小白: 是啊,最便捷的是有手机、有WIFI就可以实现远程控制功能。
0 g5 ]4 p& v$ y4 ~6 U' b0 F3 f- I' N8 s% x* Z3 E
( r, r: p, y' X& W' f5 D0 [, a @. g
大东:等一下,便捷中往往隐藏着“邪恶”,你可要小心灰鸽子病毒啊!
! G$ h) Z/ Q7 M/ T( E
, ]$ T/ K9 `2 y+ q
* A7 D$ T' r# ^* J小白:灰鸽子病毒?- Y/ p! s# d0 A# q& G8 p
3 L* L9 |/ n7 d. z# ]) V* ^$ V# c* \) {1 e( P& _5 i$ `
大东:是的。灰鸽子本身是一款远程控制软件,但是因为恶意使用,又被认为是一个集多种控制方法于一体的木马病毒,一旦用户电脑不幸感染,可以说用户的一举一动都在黑客的监控之下,要窃取账号、密码、照片、重要文件都轻而易举。
5 P3 w2 \# l/ J* \$ \- d
6 F$ K6 F* t/ v8 w; `& V! v- ]6 `# a6 a
. O2 @4 d# `9 D9 ?0 ]小白:我的天啊,那我的隐私岂不是完全暴露在大家的面前了?!3 O1 g3 a, \& V. q4 P* J+ ^
* z7 W/ Q" }, ?) j @
# P3 Y$ ?+ N% f" E+ X: w
大东:不仅如此,他们还可以连续捕获远程电脑屏幕,还能监控被控电脑上的摄像头,自动开机(不开显示器)并利用摄像头进行录像。3 T& M; M* J/ x- q9 H8 b% ]
9 z' X! b. Y2 o& Y3 a Y" L9 `
1 L2 r- W) |- D7 Q5 U小白:简直是太可怕了!假如我没洗头、没洗脸、穿着邋遢衣服的样子被拍了下来,上传到网上的话……
& m% D" H9 |+ y) n5 t
* ?: r; V' n- c8 N
0 t( y- {8 T/ x, R& [
, D. O, _3 }1 [" H, E9 t: L0 N! m( f/ r; G
大东:emmmmm……你这个颜值估计上传了也没人看。我们言归正传,继续说灰鸽子的事。随着“灰鸽子2007”的发布,当年仅3月1日至13日,金山毒霸截获的灰鸽子变种数就达到521个。盗号、偷窥、敲诈以及骇人听闻的公开“叫卖”,危害更甚于熊猫烧香。
; ^4 H. D- `5 a$ A' X2 r3 c4 q& q$ ^+ J+ V4 b c
+ g+ m3 u4 R* }. C5 c
小白:这群人简直太可恶了!
. A# b" p* y/ G" b9 z$ @* K9 h _) R- R. e0 r2 c0 I
6 m" O% ~& }( ^4 P
大东:而且灰鸽子已不再是一个单纯的病毒,其背后是一条制造病毒、贩卖病毒、病毒培训为一体的黑色产业链,从某种意义上讲,灰鸽子的危害超出熊猫烧香10倍!
9 I$ R: M. C3 k- R
d. b$ |( |, G/ Y3 j1 P: G/ \/ C! ~: G1 N* Z, V W% X2 K% Q
灰鸽子产业链示意图。图片来源于网络
$ P E; `$ X, a0 _4 U4 M
4 F) Q0 `6 v! Y1 ]! a小白:东哥,那我们就拿灰鸽子一点办法都没有吗?/ N) V/ e% Y- L; B! X
# }1 o" L2 P, P6 K( B! ]6 O" o3 O5 E1 e- t7 y$ V
大东:灰鸽子虽然强大,但它并不是完美无缺的。让我为你解析一下这个难缠的病毒。- S4 p6 j+ ~5 @0 }
; A3 c; N7 \; S, G
二、灰鸽子病毒发展史
% `# d a7 x3 C7 |4 a
5 {4 h ^3 s# Z* x/ n8 i4 }# p" m% y" }( U, s
大东:先来说说灰鸽子病毒的发展史吧。
6 a2 G/ N/ s; q& E g M$ ?
" E% s5 x: t6 v. k
0 I6 v' ]. Q" h8 D小白:好呀,我最喜欢听历史了。& ^+ I. @1 R+ \! e$ |, _/ R
~9 P {: f% \/ B
: d" V9 {6 {( F, R8 w5 ]( x
大东:灰鸽子病毒发展分三个时期:诞生期、模仿期、飞速发展期。' _$ T3 ?- @# `
; H/ n% t. T( U
' U' a. U) ]+ u
小白:先说说诞生期吧。8 m, [$ h- N! J1 T( F5 V# m
d ?$ M, v4 [4 s% j) a9 L, G% b
$ f' _* X0 |! F& Y: [1 K大东:诞生期自2001年,灰鸽子诞生之日起,就被反病毒专业人士判定为最具危险性的后门程序,并引发安全领域的高度关注。2004年、2005年、2006年,灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒,灰鸽子也因此声名大噪,逐步成为媒体以及网民关注的焦点。
2 ?! a3 n4 `6 f, v
. [7 l" d& ?0 B* A/ P- I3 A9 q* ^( k
小白:最具危险性的后门程序,听上去很厉害嘛。
' L5 j, W2 Y0 L/ _: U
, ]0 I- p& j; ^. X! b/ a9 A$ Z4 Z8 }& x. h
大东:模仿时期,灰鸽子最早出现的时候是在模仿“冰河”。它采用Delphi编写,采用了源码共享的方式出现在互联网。虽然“灰鸽子”在当时的名气不及“冰河”,但由于开放源码的方式让“灰鸽子”逐渐增大了传播量。" @9 g! M, M5 w0 A
5 U$ L) X! f5 c* Y9 J$ m
0 V5 |' \* o4 p* u小白:这么说来冰河是灰鸽子的“前辈”啦!那冰河也是远程控制软件吗?
9 S" X# h: p/ e3 P- |3 X+ T2 k$ u8 {6 N$ K! o m, B' I
# W; q% F2 @( _; ]" P. W大东:是的。冰河的可怕之处在于自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入、记录各种口令信息。还包括获取系统信息,例如计算机名、注册公司、当前用户等多项系统数据。远程关机、远程重启计算机、锁定鼠标及锁定注册表等多项功能限制也是他的拿手强项。
. }: Y( E" W2 c% s- [: `( y& t+ o
! F- f* p f! D+ B( a) l0 [* ^小白:说远了,该说灰鸽子病毒飞速发展时期了。
; [* j) x/ A% w! v
8 @ J/ U" V* ^
" R& @* L9 d/ D' I+ r! j大东:2004和2005这两年之间,灰鸽子逐步进入了成熟的状态,由于源码的释放,大量变种在互联网中衍生。2004年灰鸽子总共发现了1000多变种,而在2005年,这个数字迅速上升到了3000多。
% \3 a+ h' f; A: \" Y3 R8 }( q, S" T+ X9 F
j' ~) d- G' @ k5 V6 w小白:变种也太快了吧?!) K) T9 u* `+ R& `( _- ^. s% F
* N1 d: o) r b8 l; R' j- Q0 `, ^1 C0 m+ Y) f, ~" S! w( A1 o2 l
大东:“灰鸽子”最大的危害在于潜伏在用户系统中,由于其使用的“反弹端口”原理,一些在局域网(企业网)中的用户也受到了“灰鸽子”的侵害,使得受害用户数大大提高。2004年的感染统计为103483人,而到2005年数字攀升到890321人。“灰鸽子”本身所具备的键盘记录、屏幕捕捉、文件上传下载和运行、摄像头控制等功能,将使用户没任何隐私可言,更可怕的是服务端高度隐藏自己,使受害者无从得知感染此病毒。
. w( _! ?! b) V l7 P' ^- N O3 e' T @9 G' _ w# [* q' _
9 Q$ ]$ ^+ V& H; d% q& B( N9 {
小白:令人害怕!) z. y" j" h! Y2 N
+ g1 q% A4 d( j3 F# x9 z; ], N
三、灰鸽子病毒清除办法
* L* X: \& g( n% J$ x, z0 u: _' x) e* N2 k4 u3 ~. [4 [) L
! @1 F' g! z* u大东: 但是利用一些检测方法就可以将灰鸽子揪出来。通过研究发现,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子服务端。5 U; x" B( R" z/ z, W& g
" p5 B$ {; @" K0 Y( L ~8 Q" n. ]
1 d0 g* L; T7 a# U6 ]5 L9 F
小白:那是把“_hook.dll”结尾的文件删掉就可以吗?
/ n9 x( L5 ]7 I' O& t& j
6 Y# D; P! Y; z N0 s5 L
0 h6 d" U" s: S/ p4 O大东:当然不是那么简单。由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行,而且要把Windows设置成显示所有文件。并打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。经过搜索,在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。9 [" H- v6 X4 L5 M6 F4 @
: q8 o5 c# s* f
+ W; s5 |5 o- a+ C: k小白:这就是灰鸽子文件了吧!* T4 K* c' k/ S
$ V1 e+ }2 C0 _
8 d4 d- B# m+ o大东:还不能确定。如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。这才是真正的灰鸽子的服务端,不能“冤枉”好人啊!" j$ o' U; Z% ?: t7 L$ L
2 ~! ~/ B8 w1 G) W5 q9 ^1 `
; u3 O) v" T$ g8 c6 jGame.exe和Game.dll。图片来源于网络 9 ?3 v( D! X, N% [- N
0 x2 K6 B' K) P. z, C& @
' E2 }9 L# v6 A- t8 m小白:原来是在这样。把这几个文件删除就可以和灰鸽子病毒say goodbye了吧!- @) j' h6 _' o8 ^! B
+ H7 t' G; i+ ?- w0 h$ t+ ~8 U9 C `7 b A* L5 p6 f+ p
大东:总共有两步,这只是其中的一步。首先清除灰鸽子的服务,注意一定要在注册表里完成。清除灰鸽子的服务一定要先备份注册表,或者到纯DOS下将注册表文件更名,然后再去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联。
+ Z8 @6 ]! V$ t( m: J$ ]9 O& X) r" c l- f# r4 i: T
5 G2 y H7 x2 j2 S7 T小白:东哥,具体应该怎么做啊?教教我呗。
" r* e0 B& m, ?1 S3 g
! F+ t' G4 p- y: R
0 `* f( S7 H+ U大东:第一步打开注册表编辑器(点击“开始”- “运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。第二步点击菜单“编辑” “查找”—“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server,每个人这个服务项名称是不同的)。第三步删除整个Game_Server项。
) \" R* u4 p9 t& x8 v 4 p, u9 m6 ?8 x2 q
1 p$ |) M/ F) [+ C; n& k查找game.exe。图片来源于网络 3 J6 X" B6 ~0 G+ U* d
. R$ G/ p& o, z! f# a
小白:这其中的第二步是不是就是我刚才说的删除Game.exe和Game.dll。+ S/ A# u5 L2 W! l3 r( m
3 M I7 ]; b R" j# w. Y
( Z9 ~, T. N& Y" g大东:bingo!你只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机,就彻底告别灰鸽子病毒了。6 r) |3 C1 }& F
$ ^; z6 {) h- N/ d5 x) ^
四、防范措施
1 L0 a! J, r6 K" W0 B7 m% Y' |
# m" `# l( A& w6 x7 Z6 u小白:东哥,那该如何防范灰鸽子这类病毒呢?
$ |9 j) q$ G, ]/ K/ {# `
+ x k5 {- K. p% w: U+ P s; W- \6 b/ N2 E2 j3 ~3 j1 f
大东:有些办法虽然有些原始,但总是最好用的。比如说给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack)。1 @- x- |2 b$ @
( Z: N$ D1 _; L' i- O }
3 y6 [, j5 [8 N* R小白:东哥,我们老说打补丁,补丁的专业解释是什么呀?我们为什么要定期打补丁呢?; o) k$ ?" }+ H5 C( ~2 ]/ Q' P: r" C
' N: U H |. Z$ J
1 F" S. k+ w* I( m+ C9 P
大东:补丁就是操作系统的不定期错误漏洞修复程序。一般在开发过程中,一开始有很多因素是没有考虑到的,但是随着时间的推移,存在的漏洞问题会慢慢被发现。这时候,为了对系统本身存在的漏洞问题进行修复,系统开发者会发布相应的补丁。黑客如果利用这些漏洞,就可以得到计算机的控制权。
; d, S0 V# W" I8 n6 L/ S
3 V+ P# f8 m( j8 y* p& L |' k* U: C
- {- }4 S" S7 r: X* E, {小白:东哥,还有类似的“原始”方法吗?( G$ D) z* ^* M" Y) y) K+ ~
# S U; H. \2 K4 Q. I/ s; d8 ]8 a7 T H9 F9 |% A
3 @+ p5 F5 _# ^
F/ L" B0 l4 D* V
大东:给系统管理员帐户设置足够复杂足够强壮的密码,最好能是10位以上,字母+数字+其它符号的组合;也可以禁用/删除一些不使用的帐户。如果记忆力够好,经常改变密码也是也是个不错的选择。
9 I j" f( E0 ], W' g0 b! g7 U+ d( t# h: C4 F4 K, D- {# ~
5 z \/ `3 `/ r
小白:对,比如说我就经常换密码。
* p, r- \6 q; i* g9 v
7 `. w/ G% ?0 O Y
8 ~9 @8 J: w. ^( ]6 t" ?) J大东:哎,不过你也总是忘记密码。不过单纯地讲,换密码这个习惯还是不错的。" i& x$ b# C3 ~9 M. B6 _
( ]; ]; r2 \$ {/ _7 m
$ O0 L1 }+ Y1 V& j, c4 {6 M; I* z
小白:东哥,你总揭我老底,就不能给我留点面子嘛?) G0 u" H1 z: U' Y# }
. ^. h4 N6 L+ Z' Q
" M" E- I7 Y+ l# R
大东:(装作听不见的样子) 嗯,我们继续说防范的方法。经常更新杀毒软件(病毒库),安装并合理使用网络防火墙软件是十分必要的。网络防火墙在防病毒过程中起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。
. G; \% c0 n8 _; m0 o
" C* w( c6 _; W4 N7 g* @) O, q8 k5 x+ v8 z- g, u2 v, L8 n
小白:东哥,还有吗?) f; l# f# N: @( f* P" f% j" K1 P
) U: p# g- s: Y- _! J6 J5 s2 N
0 a3 ^ E/ n& U f# l大东:关闭一些不需要的服务,条件允许的话可以关闭没有必要的共享,也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。
; B0 D& i4 R2 Z2 ~9 ]4 Y* m' I8 S+ c3 q+ a- M( d$ ]
. Q! ]) E9 ]) Y小白:懂了。东哥,通过你刚才的讲解,我回忆起来了许多东西。# A7 C2 F2 e6 P: C$ n
^) D0 p" l' ~9 T
" y. P9 z7 F5 f' z1 M大东:温故而知新嘛!& J' x% Q* q# C* e* c0 C; {. [
5 [+ {' o' v# Z( @6 O5 c3 _" v) \* R7 I' ^: h9 h9 Y+ t& u
来源:中国科学院计算技术研究所
5 u. | i- [: U7 e& [1 S
" Z6 z P, W# b% s
( s* P I# w! e温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」9 W* G. j: Y$ h1 _$ S
4 l# V2 V G6 I, Z! D
2 |, s$ t- m$ [. D7 x5 u
( d# c7 H* j) v
( V: j4 W8 C6 V/ l
% l; M! S' l6 X" y9 j: L
+ C" y0 w' r J, B5 Q1 f; X" Z来源:http://mp.weixin.qq.com/s?src=11×tamp=1574510402&ver=1992&signature=Tvxe-dv0Pli2WOy8jx6-Hw7rnv9HYpasycZdOiA27ix8cPjxnROs0K1kkvdUU-4qOv15U3svsKSNcI-QAj5BtJGG0rX5r4iFdLPgzGOu9EXoWlxVCaXxE1chtktOJjK2&new=1' S+ [5 m# J, r1 c9 E6 {8 b6 C" \" V3 P- d
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-11-23 20:40:29
