热点科技
标题:
驱除灰鸽子 医治网络禽流感
[打印本页]
作者:
sunweipeng
时间:
2009-12-28 06:36
标题:
驱除灰鸽子 医治网络禽流感
编者按:这是一个隐藏在超过20000000台计算机中的木马,每一台中了此木马的计算机就是控制者手中的“肉鸡”。 “肉鸡”上的QQ号码、游戏币、游戏帐号、隐私资料等等,一切的一切,都成为控制者手中的财富。这个木马形成了一个庞大的帝国,这个帝国有着严格的等级,有着完备的商品流通体制,有着骇人听闻的偷窥、盗窃、欺骗和敲诈。一些人成为了富豪,更多的人则成了受害者。没错,这便是国内十大病毒三连冠得主,灰鸽子!
撕皮拨壳——认识“灰鸽子”
灰鸽子病毒英文名为win32.hack.huigezi,这个木马黑客工具大致于2001年出现在互联网,当时被反病毒专业人士判定为最具危险性的后门程序,并引发了安全领域的高度关注。经过作者的不懈改进,从2004年起,灰鸽子连续三年荣登国内10大病毒排行榜,至今已经衍生出超过60000个变种。
前不久,熊猫烧香着实火了一把,大大小小的网民,一旦看到拿着三根香且憨态可掬的熊猫,不免心中打个冷战。但孰不知,与灰鸽子相比,熊猫烧香的危害远不及其十分之一。灰鸽子木马病毒入侵系统后,并不张扬,而只是悄悄地在系统驻留。只有非常有经验的电脑用户才可能发现异常,普通用户根本毫不知情,就好比有个会隐形术的贼在你家中长驻。
与传统木马病毒不同,灰鸽子病毒的文件名可以由攻击者任意定制,病毒还可以注入正常程序的进程隐藏自己,在Windows任务管理器中,用户根本无法察觉到它的存在,而唯有借助一些第三方工具,才有可能发现其蛛丝马迹。
被灰鸽子入侵的计算机,将完全被攻击者控制。攻击者具备和你一样的管理权限,远程黑客可以轻易的执行复制、删除、上传、下载等各类操作,电脑中的机密文件将在用户毫不知情的情况下被窃取。病毒还可以记录用户每一个点击键盘的操作,你的QQ号、网络游戏帐号、网上银行帐号,可以被远程攻击者轻易获得。更过分的是,远程攻击者还可以直接控制你的摄像头,任意拍摄照片、录像。
当远程攻击者获得其所需的资料后,还可以远程将病毒卸载,以达到销毁证据的目的。打个比方,这好比是穿着隐身衣的毛贼,在你家拿了贵重物品后,再大摇大摆地从隐形的门走出去,而你却根本不知道自己丢了东西。
灰鸽子如何传播?
毫无疑问,灰鸽子的危害是巨大的,但其自身却并不具备主动传播特性,而一般只能通过捆绑的方式进行传播。总的来说,网页传播、邮件传播、IM聊天工具传播、非法软件传播,是灰鸽子传播的四大途径。
1、网页传播
病毒制作者将灰鸽子病毒植入网页中,一旦用户浏览该类网页,便会立即中招。
2、邮件传播
灰鸽子被当作附件捆绑在电子邮件中进行传播,一旦用户打开附件,灰鸽子便会立即入侵系统。
3、IM聊天工具传播
攻击者将植入灰鸽子的网页链接,以及捆绑灰鸽子的程序文件,通过IM聊天工具发送给用户,一旦执行相应操作,亦逃不掉灰鸽子的魔爪。
4、非法软件传播
攻击者将灰鸽子捆绑进各种非法软件,用户安装这些软件时,系统便会立即感染灰鸽子。
可以看到,灰鸽子的传播途径十分广泛,稍有不悄,便会令其溜入计算机,从而窃取各类用户资料。不过好在其尚不具备自动传播特性,否则,对其的防范将变得更加困难。
无恶不作——“灰鸽子”七宗罪
与简单的破坏计算机不同,灰鸽子的最大危害莫过于一个“盗”字,并在“盗”的基础上,延伸出许许多多令人发指的险恶行径。罄竹难书,姑且让我们借用影片《七宗罪》,来详细地了解一下灰鸽子的丑恶嘴脸
作者:
sunweipeng
时间:
2009-12-28 06:36
1、记录键盘,偷盗他人账号
灰鸽子入侵用户计算机后,可通过键盘记录器等手段记录用户的键盘输入信息,包括QQ、网络游戏、网上银行的帐号密码,只要是通过键盘输入的字符,都会被其一字不漏的记录下来,并立即为攻击者所获取。
例如,热门网络游戏魔兽世界曾发生大量游戏帐号被盗时间,给数千玩家造成了不可估量的损失。又如,在2006年10月,BTV7《生活面对面》栏目曾报道,一网银帐户内1万余元被分15次盗走,警方在事主的计算机中查获了灰鸽子病毒。
笔者建议:执行密码输入操作时需谨慎。在输入QQ号码、网银帐号等操作时,尽量使用软键盘完成(各种输入法软件都带有软键盘功能,调出后使用鼠标点击即可),以避免键盘键入信息被灰鸽子所盗取。
图1 使用软键盘输入帐号
2
、悄悄开启用户摄像头偷窥隐私
灰鸽子能够远程控制用户计算机中的摄像头,并通过它来偷窥用户隐私。只要用户的计算机处于开机状态,且摄像头连接正常,远程操控者便可以自动开启用户的摄像头,窥探用户隐私。这好比是家里隐藏了一只远在千里之外的眼睛,是不是有些毛骨悚然、
前不久,便有一篇报道,一以新婚夫妇缠绵全过程被黑客通过摄像头全部录制,并在网络中进行非法传播,对受害人造成了严重的伤害。
笔者建议:当发现摄像头指示灯无故显亮时,需特别注意,你的摄像头很可能已经被攻击者所控制,应该马上断开摄像头与计算机的连接,并且立即对计算机进行检测。此外,如无特别需要,在平时,最好不要将摄像头对准自己,而是让其对墙或其它不会拍摄到影像的角落。这样一来,即使摄像头一幸被攻击者控制,也不会让其窃取隐私。
3、截获用户隐私,敲诈他人
攻击击利用灰鸽子病毒完全控制被感染者计算机,可以对计算机中的任何文件进行处置。攻击者一旦发现对用户比较隐私或机密的东西,往往会将其转移到其他地方,然后以此为把柄,对用户进行恶意敲诈勒索。
例如,今年3月7日,BTV1《法制进行时》曾报道,江西瑞金一男子使用木马程序盗取受害人裸照,并向事主索要14万元人民币。与现实生活中的敲诈一样,利用网络进行偷窥、敲诈的行为同样是违法行为。虽然,该男子以敲诈勒索罪被判有期徒刑6年,但这一事件,对受害人的伤害却无法磨灭。
笔者建议:计算机是工作、学习、娱乐的工具,而不是保险箱。太隐私的东西,并不适合保存于计算机中,特别是一台联网的计算机。而一旦不幸遭遇同类事件,不必惊慌,及时报警,将犯罪分子绳之以法才是正道。
作者:
sunweipeng
时间:
2009-12-28 06:36
4、控制用户电脑,制造僵尸网络
计算机被植入木马,这台主机,往往被称之为“肉鸡”。一方面,远程攻击者可以对这台“肉鸡”为所欲为,获取任意信息;另一方面,远程攻击者可以通过“肉鸡”,将邪恶之手伸得更长。
例如,远程攻击者可在“肉鸡”上植入点击广告的软件,从而获得非法广告收入;利用“肉鸡”配置代理服务器,以此作为跳板,对其它计算机进行非常攻击,一旦最终受害者追查时,“肉鸡”将成为替罪羊;此外,还可以利用大量“肉鸡”组建僵尸网络,随时可以被用于一些特殊目的,比如发起DDoS攻击等。可以想象,如果大旦“肉鸡”被敌对势力控制,将会对我国的网络安全造成什么样的不利后果。
笔者建议:远程攻击者通过“肉鸡”而开展行动时,不免用到计算机本地资源。因此,一旦发现带宽使用异常,又或是系统资源占用异常,那便有可能已经中招。必需立即对计算机进行彻底的检查。
5、盗取商业机密
不仅是民用领域,灰鸽子业已渗透到商业领域,成为商业间谍的最爱。通过一些非法途径,让那些存放商业机密的计算机感染灰鸽子。接下来,攻击者便可随意窃取有价值的商业文件、机密文件、个人隐私数据等等。攻击者可以偷偷地将这些商业文件进行贩卖,充当商业间谍。如果是国家机密因此受损,后果将不堪设想。
笔者建议:较之民间领域,商业领域的保护更加严密,但也不能确保百分百安全。对于商业机密文件的保护,一方面,通过防火墙等设备,提升商业网络的安全系数;另一方面,为机密文件设置一个复杂的密码,将是必需的。
6、间断性骚扰
除了窃取机密,某些攻击者还抱着恶作剧心态,沉迷于玩弄受害者的计算机。由于其已经获取了“肉鸡”的全部控制权,因此只需在远程发出指令,便能任意打开和关闭文档,重启或关闭电脑,令受害者无法执行正常的操作。
笔者建议:如果发现计算机出现任意打开或关闭文档,重启或关机等症状,那么不必惊慌,而是应该立即拨掉网线,断开攻击者控制计算机的途径。然后再通过各种途径,将灰鸽子病毒从系统中清除出去。
7、恶搞性破坏
看谁不顺眼,就可以肆意搞破坏,攻击者可利用灰鸽子对被感染的用户计算机为所欲为,修改注册表、删除重要文件、修改共享、开启代理服务器、下载病毒等等,试想如果你电脑的注册表被恶意篡改、系统文件被删除,而且电脑中还被放了大量病毒,你的电脑将如何?
笔者建议:从症状来看,恶搞性破坏与间断性骚扰有几分类似,但从后果来看,对用户造成的危害明显更大。如果发现计算机存在此类症状,同样应该先拨掉网线,切断攻击者与计算机的联系,然后再对灰鸽子进行查杀操作。
没错,灰鸽子就是这样的罪大恶极,对待如此恶徒,自有雷霆手段等着它。
魔高一尺,道高一丈——灰鸽子的查杀
中了灰鸽子,浑然不知;知道中了灰鸽子,束手无策。这往往是许多用户面对灰鸽子的无奈写照。实际上,灰鸽子虽然危害巨大,但在强大的安全软件面前,也只有缴械投降的份。通过一些必要的手段,便能将灰鸽子彻底清除。
作者:
sunweipeng
时间:
2009-12-28 06:37
一、怎样才知道中了灰鸽子?
灰鸽子病毒泛滥已经数年,变种高达60000多种,同时病毒具备很好的隐形特性,让人觉得防不胜防。而即使是中了灰鸽子,也由于其潜伏极深,很难为用户所察觉,而这种察觉的延迟,便已经为灰鸽子的肆虐创造了极佳的条件。因此,要想在第一时间内清除灰鸽子,还必需对其发作症状有所了解。
灰鸽子运行后,会将自身伪装为系统正常进程Winlogon.exe,并释放WinLog0n.dll另一个病毒文件。它会在电脑系统里添加一个名字为gs2007的伪Windows安全登录程序。同时在受感染的机器上开启端口,当成功连接黑客的控制端后,黑客便可以完全控制受感染的电脑。而具体来说,如果发现以几种症状,便可基本断定已经被灰鸽子入侵。
1、打开“控制面板”中的“文件夹选项”,切换到“查看”选项卡,勾选列表中的“显示系统文件夹的内容”、“显示所有文件和文件夹”两项,以及取消“隐藏受保护的操作系统文件”、“隐藏已知文件类型的扩展名”两项的勾选。
图2 调整文件夹查看参数
2、打开系统分区,在其根目录中查找是否包含BOOT.EXE和BOOTLOG.HTA两个文件。如果存在,那就说明你已经中招了。
3、调出系统搜索框,输入G_Server2.0.exe,在C: WINDOWS(以WinXP为例,如果操作系统为Win2000,则应在C:WINNT目录中搜索),如果存在,那就说明灰鸽子木马服务器端已经成功植入你的系统。
图3 搜索灰鸽子服务器端文件
4、如果在浏览网页时,突然弹出内容为“该文件不用于帮助程序打开”的一个帮助程序窗口,然后随即关闭,并出现一个运行“bootlog.hta”的脚本运行器,在运行结束后自动关闭,整个过程在10秒内完成。如果出现这样的症状,那就意味着恶意脚本代码执行成功,灰鸽子木马被植入你的计算机。
如果发现上述症状,那便说明你的计算机已经受到灰鸽子的入侵,面对侵略者,我们别无他法,只有拿起武器,将它们彻底消灭!
作者:
sunweipeng
时间:
2009-12-28 06:37
二、兵来将挡,三招搞定灰鸽子
虽然灰鸽子在系统中隐藏极深,不易被用户发现并查杀,但在安全技术日益进步的今天,利用各种手段,便能够将其彻底从系统中消灭。对于动手能力强的用户,不妨尝试着手动清除;对于大部分普通用户,不妨使用安全厂商推出的专杀工具,来执行消灭灰鸽子的任务。
1、手动清除灰鸽子
手动清除灰鸽子,主要通过对注册表的修改完成,鉴于注册表的重要作用,在执行操作前,建议做好备份工作,以免出现不可逆转的后果。
第一步:启动计算机,按F8键进入安全模式,依次点击“开始”-“运行”,在“运行”对话框中输入“regedit”,回车进入注册表编辑器。
第二步:通过搜索功能,在注册表中找到并删除WinLog0n.dll和Winlogon.exe的相关项,完成操作后关闭注册表编辑器。
图4 搜索相关注册表项
第三步:通过系统搜索功能,在计算机中找到并删除WinLog0n.dll和Winlogon.exe。
第四步:执行上述操作后,重启电脑,灰鸽子被成功清除。
一般情况下,执行上述操作,能够有效的清除灰鸽子,但众所周知,灰鸽子的变种多达60000多种,在其不断出现的变形品种面前,手动清除并不保险,很可能出现漏网之鱼。此外,对注册的操作具有一定危险性,还需谨慎操作。
2、使用普通木马清除软件
正由于直接对注册表操作,存在众多不足,不仅对操作者的操作水平提出要求,同时也会由于灰鸽子的变种而无所适从,因此我们往往使用一些辅助软件完成灰鸽子的清除工作。例如著名的木马查杀软件冰刃,便能且我们一臂之力。
一般来说,普通用户无法根据进程列表看出哪个是病毒、木马,而冰刃则不同,它不仅可以列出所有的进程(包括一些隐藏进程),或会将一些可疑进程用红色标出。你可以启动冰刃的同时,打开任务管理器,比较一下,看冰刃里多出的一个进程,可能就是灰鸽子病毒。进程名如果是假冒Word、记事本的图标,需要重点关注。
图5 在冰刃中找到灰鸽子进程
选中上图G_server2007进程,单击右键,结束进程。结束进程后,我们直接根据上图冰刃的提示,点冰刃左边的文件,浏览到上图程序名称提示的文件夹,找到g_server2007.exe和g_server2007.DLL(灰鸽子中毒后的文件名各不相同,是由攻击者定制的,应尽可能根据冰刃提示的路径去查找。有的版本带有_hook.dll,可以查看下文件日期,应该是同时生成的。)点击右键,彻底删除掉。
图6 删除灰鸽子程序文件
3、使用灰鸽子专杀工具
以上两种清除灰鸽子的方法,不能说不好,但却均对使用者提出了颇高的要求。手动清除,需要对注册表有所了解,并且操作中危险性较大;使用冰刃,光是辨认进程便是对使用者的严峻考验。那么,有没有更简单、更直接的方法呢?
实际上,随着灰鸽子的肆虐,金山等安全厂商已经适时推出了灰鸽子专杀工具,能够让用户实现傻瓜化的清除操作。此外,专杀工具不断的更新,也使其对灰鸽子的各种变种具备了良好的查杀能力。事不宜迟,这就来看看金山毒霸“灰鸽子”木马专杀的威力。
第一步:到
http://tool.duba.net/zhuansha/255.shtml
下载金山毒霸“灰鸽子”木马专杀工具,我们会得到一个DubaTool_Huigezi.COM的可执行文件。
第二步:双击DubaTool_Huigezi.COM,运行金山毒霸“灰鸽子”木马专杀工具,单击“开始扫描”按钮,专杀工具便会立即对系统进行详细的扫描,一旦发现灰鸽子的踪迹,便会立即将其清除。
图7 使用专杀工具查杀
很明显,使用专杀工具远比上述两种方法来得简单,在金山毒霸“灰鸽子”木马专杀工具运行的过程中,我们根本无需理会,而是可以执行一些正常的操作,灰鸽子的清除,将会在不知不觉中自动完成!
作者:
sunweipeng
时间:
2009-12-28 06:37
4、使用杀毒软件防火墙
事实上,最新的金山毒霸2007还具备了数据流杀毒技术,不管灰鸽子如何狡猾,其均可实时检测清除各种经过特殊变形加壳处理过的灰鸽子病毒。
图8 发现并清除灰鸽子
金山互霸2007下载地址:
http://www.duba.net/db2007/down.shtml
数据流杀毒技术可直接分析病毒运行过程中生成的数据流特征,在病毒程序运行时,首先会自行脱壳,从而暴露出程序原始特征,在病毒原始代码现身后,杀毒引擎会及时做出响应,将病毒程序清除,这种方式避免了虚拟机需要的资源开销,内存耗损。此外,数据流杀毒技术还具有逆向检测原始加壳带毒文件的能力。比如,病毒A是一个加壳病毒,脱壳后生成病毒B,那么只要能够清除病毒B,就可以清除与A具有相同特征的加壳病毒C,而无论C脱壳后生成的是病毒D还是F。
总的来说,只需掌握了一定的方法,灰鸽子的清除并不是十分困难。当然,从操作的难度和安全性考虑,笔者还是推荐后两种方法,即使用专杀工具和病毒防火墙,一来无须动手,适合我等懒人,二来对灰鸽子的各种变形也能一眼看穿。
网络陷阱重重——安全上网十大军规
被动的反击,永远比不上进攻性的防御有效。采取必要的手段,将安全威胁拒之门外,让计算机远离木马的困扰,才是我们的最终目的。笔者整理了十条安全上网的行为准则,希望能对提高读者朋友的网张安全意识有所帮助。
准则一:不打开来历不明的网站
网站越来越多,安全威胁也随之增加。不少来历不明的网站,都被植入一木马程序,一旦用户浏览,便会立即中招,进而被攻击者窃取计算机中的各种资料。因此,对于来历不明的网站,即使其宣传得再好,也不要轻易地去点击,安全才是第一位的。
准则二:不在公用电脑登录隐私网站
对于网吧、办公室电脑,不建议登录个人网银等隐私网站,以免相关资料被窃取。同时,在公共场所使用计算机,在长时间离开时,建议按下Win+L锁定计算机,以免内部信息被他人窥视。
准则三:安装病毒防火墙
一款优秀的病毒防火墙,例如采用了数据流杀毒技术的金山毒霸2007,将为你减少许多不必要的麻烦。
准则四:安装网络防火墙
不少人往往忽略了网络防火墙,但殊不知,在网络攻击日益增多的今天,在某种意义上,网络防火墙比病毒防火墙更加重要。因此,安装一款类似金山网镖的网络防火墙将是用户不错的选择。
作者:
sunweipeng
时间:
2009-12-28 06:37
准则五:及时更新Windows系统补丁
大部分木马病毒,往往利用了Windows的系统漏洞,因此及时打补丁,成为防范木马病毒入侵的必要措施。对于大部分用户,我们建议开启系统自动更新功能,让操作系统自动安装最新的系统补丁。
提示:自动更新功能的开启方法如下,打开“控制面板”,双击“系统”项,在弹出的“系统属性”窗口中切换到“自动更新”选项卡,勾选“自动”项并设置更新时间即可。
图9 开启系统自动更新功能
准则六:关闭系统默认共享
在Win2000以后的操作系统中,系统会自动创建一些共享资源,这便给黑客以可乖之机。虽然在磁盘属性中,我们可以执行取消共享操作,但每当系统重启后,却会自动再次开启!
实际上,我们可以通过对注册表的修改实现共享的关闭。打开注册表[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun],新建“delshareC”,赋值为“net share C$ /del”,同样的方法,依次建立针对其它磁盘的键值,重启计算机后,便可实现自动关闭共享的目的。
图10 添加注册表键值
准则七:谨慎安装软件
不少软件,特别是汉化软件中,往往捆绑了木马,一旦安装,便会被攻击者所控制。因此在安装软件时,须看清软件安装附加项,同时对一些来历不明的软件,也不要轻易点击安装。
准则八:修改网络设备密码
对于使用ADSL Modem或路由器上网的用户,请修改这些网络设置的初始管理密码。因为这些设备的初始管理密码已经为人所熟知,一旦黑客侵入,很容易从这些网络设备中获取你的ADSL帐户。
准则九:关闭远程控制
默认状态下,WinXP操作系统开启了对远程协助的支持,这就给一些远程攻击者提供了可乘之机。因此,如若不是特别需要,建议关闭一切远程相应功能。具体的设置很简单,打开“系统属性”窗口后,切换到“远程”选项卡,取消“允许从这台计算机发送远程协助邀请”和“允许用户远程连接到此计算机”两项即可。
图11 关闭系统远程功能
准则十:提升IE安全等级
作为使用最为普遍的IE浏览器,其受到的安全攻击也是最多的,因此很有必要将IE的安全等级设置为“中-高”或者“高”(在Internet属性窗口的“安全”选项卡中设置)。而如果你使用的是Firefox等浏览器,也别忘了相应地提高其安全等级,以避免在冲浪时被木马入侵。
图12 提高IE安全等级
欢迎光临 热点科技 (http://itheat.com/activity/)
Powered by Discuz! X3.2