一、灰鸽子病毒事件' V5 P* ~9 J1 S3 M* x9 L0 C
1 {0 @# Q7 L5 I v3 ^6 ?8 p: M" I `& i/ O
小白:东哥,我最近弄了个新鲜的东西,可以远程控制我家的家电,例如空调,电视,冰箱……
( B9 M: a4 @* |+ w* \, v; V5 y: B- M2 J3 I! Y( n8 t9 W/ Z# Y
8 u3 F) a R1 `7 A
大东:嗯,这个不错!& O w8 M. F' F& c7 C
6 a6 B/ m4 u9 w4 i: Q! \6 n$ y/ `5 w0 @2 l) h* f6 [$ V r( u
手机远程控制空调。图片来源于网络
# G- B+ E; f+ v- u2 @1 Z
* l/ `! k' f; c; U6 D: c# T* I6 H! v) }3 f! I! S# t; U) g( c. p
小白: 是啊,最便捷的是有手机、有WIFI就可以实现远程控制功能。7 b. w$ t% y# x( F9 B# R9 E
! Z, b& `3 [. j& |' p2 ]9 T0 n' y+ i1 A
大东:等一下,便捷中往往隐藏着“邪恶”,你可要小心灰鸽子病毒啊!" |9 Z2 ^; A [% a
6 \/ ?6 N4 ~# @
. A/ `& C2 c( l2 G+ ]- C6 e小白:灰鸽子病毒?
+ y- {& C. i D% Y& @4 K+ X9 }9 f# L: w! N
1 q; G t- N# K
大东:是的。灰鸽子本身是一款远程控制软件,但是因为恶意使用,又被认为是一个集多种控制方法于一体的木马病毒,一旦用户电脑不幸感染,可以说用户的一举一动都在黑客的监控之下,要窃取账号、密码、照片、重要文件都轻而易举。
4 w; w$ e: _/ B6 X8 Q
5 |2 p9 v4 x* B5 k) _
/ n7 A, x* {$ H7 w1 `3 y# x小白:我的天啊,那我的隐私岂不是完全暴露在大家的面前了?!
- R8 e* C4 I6 t6 f# L# R# O6 G8 [/ @" }7 V3 l" q
2 c, M# o' O7 O. ]8 J
大东:不仅如此,他们还可以连续捕获远程电脑屏幕,还能监控被控电脑上的摄像头,自动开机(不开显示器)并利用摄像头进行录像。4 }6 C) e% r m2 J
0 G* a6 Z7 H& t5 ?+ ~) {
# Q m8 v/ \/ C% X7 \3 S7 t& y小白:简直是太可怕了!假如我没洗头、没洗脸、穿着邋遢衣服的样子被拍了下来,上传到网上的话……7 w( u z# n7 f
: Q9 l3 Y! e. Q& O# n
# L0 ~ Z5 B, }. {" B
$ _; d, J" g9 n( A& B* Q4 f3 C- T. L$ f
大东:emmmmm……你这个颜值估计上传了也没人看。我们言归正传,继续说灰鸽子的事。随着“灰鸽子2007”的发布,当年仅3月1日至13日,金山毒霸截获的灰鸽子变种数就达到521个。盗号、偷窥、敲诈以及骇人听闻的公开“叫卖”,危害更甚于熊猫烧香。
* a8 X8 m4 Z' C6 Q6 R
R4 W# Y! _- S9 m! P) `8 b
1 k# x7 c8 L! h0 Y) `' w小白:这群人简直太可恶了!
4 A% I; C5 U8 L! Q; z' f/ w$ U7 x
3 Z3 Z0 B! t3 A; P" I" \. @$ C, _大东:而且灰鸽子已不再是一个单纯的病毒,其背后是一条制造病毒、贩卖病毒、病毒培训为一体的黑色产业链,从某种意义上讲,灰鸽子的危害超出熊猫烧香10倍! ]: K0 a1 {, g- S, s! M z* f
% a+ j2 j2 o p# I2 q" u0 m% \
) F* N7 v# N7 Q) y& _6 `灰鸽子产业链示意图。图片来源于网络
$ A1 ]& L% r# F2 m8 B) Z; h5 L! W: K+ N- ^
小白:东哥,那我们就拿灰鸽子一点办法都没有吗?; `2 Z: ^& Z: @* c
% j: q: _# K* ]1 y$ J# m x
. K; R" y& O" |5 J大东:灰鸽子虽然强大,但它并不是完美无缺的。让我为你解析一下这个难缠的病毒。
7 Y4 Y; C# \& E9 ^/ U V. ]4 I! Q' b. `6 i# B; O: z
二、灰鸽子病毒发展史/ u7 S/ Y7 ?* {- A | |
+ _3 h$ ^) F: n. k, \$ o: i1 w) p! ?, H2 o9 V& F, M' X7 P3 X
大东:先来说说灰鸽子病毒的发展史吧。' F- Z$ I5 I7 C4 `, u/ J* e
* V( u+ k0 u) `( s f' H+ }# {3 D! t1 c& X2 Z
小白:好呀,我最喜欢听历史了。6 ~! z: J1 x- L+ J8 M: g4 ?0 C
8 C% x3 O6 ~) Y( Z! c
5 Z: i; `! P/ ^' X H大东:灰鸽子病毒发展分三个时期:诞生期、模仿期、飞速发展期。
e8 k2 `8 [9 L, u* S% h s* ~6 K8 v( k7 L! L( T$ o' z' Y2 \
9 ] S0 b5 z$ Y9 D. H' `
小白:先说说诞生期吧。 X7 Y1 P8 a+ c+ i, |3 I1 V
9 k8 H- O" s) |- m+ S/ P7 G H% q6 a+ e- a) Z0 w8 u1 t& O
大东:诞生期自2001年,灰鸽子诞生之日起,就被反病毒专业人士判定为最具危险性的后门程序,并引发安全领域的高度关注。2004年、2005年、2006年,灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒,灰鸽子也因此声名大噪,逐步成为媒体以及网民关注的焦点。 Y2 Y) [6 F9 u$ b. E6 _* w
7 @" R" @- H/ c' ^/ g4 @( J( V
8 Z( q& h( q8 `3 Z3 Y" l小白:最具危险性的后门程序,听上去很厉害嘛。$ w$ X4 N+ X2 }- M! c+ I9 @
( Y1 j2 F! J) V( l3 f1 b% u' `+ l/ b4 b+ D
大东:模仿时期,灰鸽子最早出现的时候是在模仿“冰河”。它采用Delphi编写,采用了源码共享的方式出现在互联网。虽然“灰鸽子”在当时的名气不及“冰河”,但由于开放源码的方式让“灰鸽子”逐渐增大了传播量。' T' A4 E. e5 s' @
0 C8 O% b' o1 p# p* S" J5 g
' k8 S% q3 c4 C; n1 k小白:这么说来冰河是灰鸽子的“前辈”啦!那冰河也是远程控制软件吗?
, c' z) j* y' ]
7 l. \% m9 {8 I: A, W" D6 A( B' @
大东:是的。冰河的可怕之处在于自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入、记录各种口令信息。还包括获取系统信息,例如计算机名、注册公司、当前用户等多项系统数据。远程关机、远程重启计算机、锁定鼠标及锁定注册表等多项功能限制也是他的拿手强项。0 L8 q4 s( j6 _6 f2 S% z8 c: n2 U
* A0 G8 s! | P6 d1 P
6 H) u! ~$ N9 l A5 ^+ U, @) S1 _
小白:说远了,该说灰鸽子病毒飞速发展时期了。' b$ w: V Q5 S* [
9 Z4 X0 H# W9 N1 o- [. h2 h0 [0 C0 R* W- f8 @( K( W" y5 e$ N+ Q
大东:2004和2005这两年之间,灰鸽子逐步进入了成熟的状态,由于源码的释放,大量变种在互联网中衍生。2004年灰鸽子总共发现了1000多变种,而在2005年,这个数字迅速上升到了3000多。# z* i( n7 E3 h0 E
5 x8 ?9 \7 ^1 p0 n* b& K. L& h
) P8 L* E( ]0 S* r" {' ~" a小白:变种也太快了吧?!
2 j' ~& U w6 M. F0 t' l4 l9 Z; i' R, ~ H8 l1 }0 e
/ Y. b, g- I* U; Z$ f- c7 f
大东:“灰鸽子”最大的危害在于潜伏在用户系统中,由于其使用的“反弹端口”原理,一些在局域网(企业网)中的用户也受到了“灰鸽子”的侵害,使得受害用户数大大提高。2004年的感染统计为103483人,而到2005年数字攀升到890321人。“灰鸽子”本身所具备的键盘记录、屏幕捕捉、文件上传下载和运行、摄像头控制等功能,将使用户没任何隐私可言,更可怕的是服务端高度隐藏自己,使受害者无从得知感染此病毒。( a1 K @1 K2 d3 P
7 u h# H: @0 {0 l/ H; a- u: ?
4 `8 E/ y- i3 F( z! b小白:令人害怕!! B( w7 ~, y, R0 Z% n
( o4 y& C- [% ^
三、灰鸽子病毒清除办法
8 w1 u. B8 x% B2 y5 T/ ]. B2 Z
( G+ m) Z0 R. j1 Y+ G( `* B5 O# E" |, z
大东: 但是利用一些检测方法就可以将灰鸽子揪出来。通过研究发现,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子服务端。+ y& Q& a2 J7 X: U
# \/ p, o) S% |) D
9 e. y7 k: p" G7 ~: I1 Z# R小白:那是把“_hook.dll”结尾的文件删掉就可以吗?8 n" V9 v, [( l; p% Z& Y
5 r. I0 y% i Y6 l( ?! X; G* G, R I! i7 C8 e2 J
大东:当然不是那么简单。由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行,而且要把Windows设置成显示所有文件。并打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。经过搜索,在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。, [9 K( Q: t' T) Z
" ^3 X# y. Y7 g* g6 c
& h5 a/ v* s% S$ m小白:这就是灰鸽子文件了吧!" Y! T2 R4 c. m3 z( r1 a
! Y. ^) ^7 D3 ~
- m9 O+ {* S! e; g, X3 s1 r7 g大东:还不能确定。如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。这才是真正的灰鸽子的服务端,不能“冤枉”好人啊!
6 O3 S; d2 Q0 d9 |" c7 \6 H ' [- T" r$ ?; }# A) \
9 Y+ z; f, x" i9 YGame.exe和Game.dll。图片来源于网络
- A3 }$ \9 n( p, J; }, U# M) r3 I+ m W& w5 Z: `$ b1 X' ]
* _1 k5 ^2 g% D9 y" W) h
小白:原来是在这样。把这几个文件删除就可以和灰鸽子病毒say goodbye了吧!
) G9 f6 g0 N9 _9 l P! ?3 x5 F- C) H+ c& p9 q) K. h% s% `
" k% w4 ~. h( K6 N8 w0 D
大东:总共有两步,这只是其中的一步。首先清除灰鸽子的服务,注意一定要在注册表里完成。清除灰鸽子的服务一定要先备份注册表,或者到纯DOS下将注册表文件更名,然后再去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联。
0 H1 m* o, h# |2 d
( \" a' r2 w% a/ Q
% O9 o5 L0 O. }小白:东哥,具体应该怎么做啊?教教我呗。$ t4 { O; G3 e {
n) v% G ^# }6 ?
U9 o. A M ~% u大东:第一步打开注册表编辑器(点击“开始”- “运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。第二步点击菜单“编辑” “查找”—“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server,每个人这个服务项名称是不同的)。第三步删除整个Game_Server项。
: t. G- Y, k$ Q Q8 M" [! H 8 o5 A4 J* M9 @/ }
) W, u3 B. S# |
查找game.exe。图片来源于网络
( ~/ I) w* Y7 B' Y6 L5 E* Y3 ? u1 U: H; x* S7 T; X6 \
小白:这其中的第二步是不是就是我刚才说的删除Game.exe和Game.dll。
+ v" l; o2 n5 @& {! b( p
6 s- @2 K0 S. |8 x) K& s6 v/ A v, F- k: u8 P. P1 E% F
大东:bingo!你只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机,就彻底告别灰鸽子病毒了。
0 f5 C3 e! n& m
* z: k% w. N; p/ c四、防范措施
. j( i( x9 _- C/ t- \; X2 x+ f W, {1 P/ F& V3 g( Z) q
小白:东哥,那该如何防范灰鸽子这类病毒呢?6 ]3 A; U# i/ t/ h9 x
6 D4 v! \# Q- e6 w8 L5 U, }
3 Q( V8 ?7 e4 K( Y大东:有些办法虽然有些原始,但总是最好用的。比如说给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack)。
3 _! ^6 j- s+ g( j5 G8 R- }* c5 m1 h, Y4 Q
. [' M& S3 S. k. ~: x! X* k
小白:东哥,我们老说打补丁,补丁的专业解释是什么呀?我们为什么要定期打补丁呢?
b" b- ^6 M, k. Z
& E. Z; e+ M" J! d/ G/ ?1 D4 K0 W( R% N( o
大东:补丁就是操作系统的不定期错误漏洞修复程序。一般在开发过程中,一开始有很多因素是没有考虑到的,但是随着时间的推移,存在的漏洞问题会慢慢被发现。这时候,为了对系统本身存在的漏洞问题进行修复,系统开发者会发布相应的补丁。黑客如果利用这些漏洞,就可以得到计算机的控制权。! K% f* ^: R" z& {
- b1 b' H0 A9 Q! P
. e/ b& ~* e- u3 V小白:东哥,还有类似的“原始”方法吗?/ N S6 v) S* L. @8 f
! s S9 K* @3 a' x* U5 a ?; u$ n! }" T* P
8 j- G4 E+ H* B1 v1 e* \) z" u
. M( n9 a/ I* _6 i# ~0 J! n
大东:给系统管理员帐户设置足够复杂足够强壮的密码,最好能是10位以上,字母+数字+其它符号的组合;也可以禁用/删除一些不使用的帐户。如果记忆力够好,经常改变密码也是也是个不错的选择。
. q# u/ v) K( Q5 G( ?) w2 k- y' X! n8 a/ g5 Y9 Q% y: R4 ~( b' n! g
# B4 R$ D( c) ^) L小白:对,比如说我就经常换密码。
5 R6 R5 R5 ^ ~+ }" {" H
0 ^+ o( r% D' u" x( }% _: y$ W4 d: Q1 |$ _6 G1 x" k. \' g
大东:哎,不过你也总是忘记密码。不过单纯地讲,换密码这个习惯还是不错的。( W9 d X( S m' ~
% M; r# J5 I* G% Z: s$ D# |
" |! v( T$ c% V# w5 `小白:东哥,你总揭我老底,就不能给我留点面子嘛?
j+ `* p; F5 G& z
& Z/ e1 i% D' n3 x5 z T6 b1 b: ]7 z3 |. `# J7 r
大东:(装作听不见的样子) 嗯,我们继续说防范的方法。经常更新杀毒软件(病毒库),安装并合理使用网络防火墙软件是十分必要的。网络防火墙在防病毒过程中起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。
' M8 j: C$ E9 N; d% h7 j! _; K% {+ S
9 F) _0 r3 |$ J2 Y% l
小白:东哥,还有吗?3 D) J5 k2 j+ O( O* v% C% E) t+ S! {
) S6 L0 Y3 A J& r$ Y: F" j3 E8 @) `" z% f0 W' O6 Z! r
大东:关闭一些不需要的服务,条件允许的话可以关闭没有必要的共享,也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。( K8 m+ s8 L+ f4 i
* [( |% }* g4 l; E5 h9 A" y: e; F8 W+ u8 A; ^3 B
小白:懂了。东哥,通过你刚才的讲解,我回忆起来了许多东西。
' X# s3 H5 Y {! s# ?6 S$ L+ L3 O& a2 s0 e4 ~' y# D8 t
) g9 q9 L6 O4 l e! k0 s. W大东:温故而知新嘛!
( S& j0 }+ g# O
, k; L$ ]/ J, A: f
1 z8 D) ~+ ]! `4 A2 k$ f i# j8 G来源:中国科学院计算技术研究所
- d0 \& }9 k/ \2 X7 j* }
; d( c7 q7 O# U1 k m7 m( m$ o
4 A# e% A, I. T/ }; g6 e温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」
' j1 b, ^$ ?0 [9 X
1 d) ?7 I. [1 c' J7 h! M& w8 \
7 z# C! V. ?% T1 ]7 S) w/ j
) U! `, x( b/ g# \; G& ?$ m5 ^8 a& ^6 s. Q
 O) n1 ^" u G" { L
3 \! k& \+ N4 u, ]5 q来源:http://mp.weixin.qq.com/s?src=11×tamp=1574510402&ver=1992&signature=Tvxe-dv0Pli2WOy8jx6-Hw7rnv9HYpasycZdOiA27ix8cPjxnROs0K1kkvdUU-4qOv15U3svsKSNcI-QAj5BtJGG0rX5r4iFdLPgzGOu9EXoWlxVCaXxE1chtktOJjK2&new=1
: |/ l/ M0 c0 s+ x0 d. n! G免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-11-23 20:40:29
