网络揭黑:“灰鸽子”完整猎杀方案
&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿�&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿� 怎么预防“灰鸽子”
&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿�&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿� 灰鸽子自身并不具备传播性,一般通过网页、邮件、IM聊天工具、非法软件四种途径进行传播。
&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿�&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿� 网页传播是指病毒制作者将灰鸽子病毒植入网页中,用户浏览即感染;邮件传播是指灰鸽子被捆绑在邮件附件中进行传播;IM聊天工具传播是指通过即时聊天工具传播携带灰鸽子的网页链接或文件;非法软件传播是指病毒制作者将灰鸽子病毒捆绑进各种非法软件,用户下载解压安装即感染。
&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿�&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿� 灰鸽子病毒泛滥已经数年,变种数万,因为病毒具备很好的隐形特性,让人防不胜防。日前记者采访了金山、瑞星、江民等杀毒厂商,他们建议网友在使用电脑时应注意以下几点:
&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿�&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿� 1.注意安装IE浏览器的补丁程序,很多灰鸽子是攻击者故意把病毒放在带漏洞攻击程序的网站上,有漏洞的机器访问这些网站就会中毒。
&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿�&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿� 2.及时升级杀毒软件,使用盗版杀毒软件(或者一个正版ID用在多台计算机上)是不能正常升级的,特别需要检查。
&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿�&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿� 3.对朋友或陌生人发送来的可疑程序不要运行,别被对方的谎言蒙骗。
&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿�&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿� 4.关闭所有磁盘的自动播放功能,避免插入带毒U盘、移动硬盘、数码存储卡中毒。
&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿�&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿� 如何猎杀“灰鸽子”
&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿�&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿� 由于灰鸽子本身的隐蔽性很强,用Windows系统自带的工具,很难发现灰鸽子入侵。那我们如何去发现电脑中已经被植入的灰鸽子病毒呢?一般而言大家可采用杀毒软件将 “灰鸽子”病毒查杀掉,但是由于“灰鸽子”不断变种,因此大家需要经常更新,而且即使更新也难以跟上“灰鸽子”的变种速度。所以,电脑用户还可以去下载一些专杀工具,如果即使下载专杀工具仍无法完全清除“灰鸽子”的话,建议电脑用户可采用手工杀毒的办法来清除“灰鸽子”木马程序。
&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿�&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿� 手工杀毒办法
&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿�&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿� 手工杀毒需要借助工具软件:冰刃。无法根据进程列表看出哪个是病毒时,可以启动冰刃,同时打开任务管理器比较一下,冰刃里多出的进程可能就是灰鸽子病毒。进程名如果是假冒word、记事本的图标,需要重点关注。
&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿�&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿� 选中G_server2007进程,单击右键,结束进程,然后直接根据提示点左边的文件,浏览到上图程序名称提示的文件夹,找到g_server2007.exe和g_server2007.DLL(中毒后的文件名由攻击者定制,各不相同,应尽可能根据冰刃提示的路径去查找。有的版本带有_hook.dll,可以查看文件日期,应该是同时生成的。)点击右键,彻底删除即可。
&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿� &defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿�
附件: IceSword120II_cn.rar (2007-3-15 16:00:11, 2111.84 K)
该附件被下载次数 629
&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿�
&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿� ■链接
&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿�&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿� “灰鸽子”身世
&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿�&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿� 2004年、2005年、2006年,“灰鸽子”木马因为连续三年被国内各大杀毒厂商评选为年度十大病毒而声名大噪,逐步成为媒体以及网民关注的焦点。自2001年出现至今,灰鸽子主要经历了模仿期、飞速发展期以及全民黑客时代三大阶段。
&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿�&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿� “灰鸽子”最初主要模仿“冰河”木马,早期并未以成品方式发布,更多的是以技术研究的姿态,采用源码共享的方式出现在互联网。由于名气不及“冰河”,当时只出现了少量的感染,但其开放源码的方式也使其传播量逐渐增大。
&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿�&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿� 因为源码开放,“灰鸽子”的版本越来越多。当时,大部分安全厂商将对用户上报和监测到的“灰鸽子”服务端都认定为“黑客程序”,并坚决查杀,在一定程度上遏制了灰鸽子的发展速度。
&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿�&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿� 2004年至2005年,大量的商业动作实现了互联网化,电子商务成为普通网民进行消费的选择之一,网络游戏在中国大地全面开花。在这样的情况下,大量通过IM(即时通讯软件)传播的木马和病毒不择手段地从用户系统中盗取网银账号、网游账号及密码,给中国互联网提出了新的挑战。灰鸽子也逐步进入成熟期,大量变种在互联网中衍生。
&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿�&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿�&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿�==============================================================================
&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿�&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿�&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿�回顾灰鸽子病毒的历史以及幕后
&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿�&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿�==============================================================================
&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿�&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿�&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿�&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿�&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿�灰鸽子木马猛增五百多变种 网民日常生活受黑客监控
&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿�&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿�昨天,记者从金山公司获悉,连续3年被指年度十大病毒、被反病毒专家称为最危险的后门程序“灰鸽子”,随着“灰鸽子2007”的发布,正在集中爆发。仅今年3月1日至13日,金山就截获了灰鸽子变种512个之多。
&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿�&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿� 网民电脑被黑客遥控
&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿�&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿� 今年春节,网民张小姐心中充满了恐惧。不久前,她收到了一封匿名邮件:“你和你老公的亲密照片已经全部在我手中,你的样子好诱人啊,不知道传到网上会怎么样呢?”张小姐打开邮件附件中的照片,里面确实是她本人的照片。最令她匪夷所思的是,很多照片自己和老公根本就没有拍过,对方是怎么拍到的?难道家中电脑摄像头被人开启了?
&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿�&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿� 金山毒霸反病毒工程师李铁军分析说,上述网友隐私照片遭偷拍的事件,极有可能是黑客利用灰鸽子病毒所为。“灰鸽子”(Hack.Huigezi)是一个集多种控制方法于一体的木马病毒,一旦用户电脑不幸感染,可以说用户的一举一动都在黑客的监控之下,要窃取账号、密码、照片、重要文件都轻而易举。更甚的是,他们还可以连续捕获远程电脑屏幕,还能监控被控电脑上的摄像头,自动开机(不开显示器)并利用摄像头进行录像。
&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿�&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿� 李铁军说,自从2001年灰鸽子问世,金山就把该病毒定为重点查杀对象。金山数据显示,截至2006年底,“灰鸽子”木马已经出现了6万多个变种。
&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿�&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿� 春节25万台电脑成“肉鸡”
&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿�&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿� 来自金山毒霸全球反病毒监测中心的数据显示,仅2007年2月,中国约有258235台计算机感染“灰鸽子”。
&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿�&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿� 蹊跷的是,“灰鸽子”本身并不具备传播性,那么“灰鸽子”大面积感染的背后到底藏着什么秘密呢?
&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿�&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿� 金山反病毒专家告诉记者,“灰鸽子”自2001年出现以来,一个制造、贩卖、销售病毒的“帝国”已经形成。中毒电脑被称为“肉鸡”,一些人利用“灰鸽子”大量“发展”肉鸡,并通过贩卖“肉鸡”获取丰厚的经济利益。
&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿�&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿� “肉鸡”交易火热进行
&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿�&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿� 记者看到,“肉鸡”在网上公开叫卖,辽宁“肉鸡”每台5角到8角,广东“肉鸡”1元一台,港台的3元,外国“肉鸡”5元……据说,这是因为辽宁、广东“肉鸡”玩游戏的多,买来后能窃取更多游戏币,“肉鸡”的利用价值更高,所以价钱比国内其他城市的更贵一些。
&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿�&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿� 金山方面分析,按一个普通的“灰鸽子”操控者一个月抓10万台“肉鸡”计算,一个月就能轻松赚取至少1万元,而这还不包括窃取“肉鸡”电脑上的QQ号、游戏账号、游戏币、银行账号等进行交易所获得的收入。
&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿�&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿� 金山总裁雷军认为,“‘灰鸽子’已不再是一个单纯的病毒,其背后是一条制造病毒、贩卖病毒、病毒培训为一体的黑色产业链,从某种意义上讲,‘灰鸽子’的危害超出熊猫烧香10倍!”
&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿�&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿� 金山方面认为,《计算机信息网络国际联网安全保护管理办法》中规定制造和传播病毒是违法的,但是对于木马、黑客程序、“流氓软件”等并没有清晰的界定,木马制造者从而能钻法律的空子,这是法律法规有待完善的地方。
&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿�&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿� 信报记者 贺文华
&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿�&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿� 【相关新闻】
&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿�&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿� “熊猫烧香”粉丝制造熊猫影子病毒
&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿�&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿� 据新华社电北京江民公司日前截获一款特征及感染方式都与“熊猫烧香”极相似的病毒,并将其命名为“熊猫影子”(英文名WORM/LYING)。
&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿�&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿� 据江民反病毒中心专家介绍,“熊猫影子”主要通过网页恶意代码、计算机文件和密码设置简单的局域网传播,它能自我复制到SYSTEM32系统目录下,并在释放相应的DLL类型文件后删除原病毒文件,十分隐蔽。此外,“熊猫影子”还在注册表中添加自启动项,只要染毒计算机开启便会运行。
&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿�&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿� “熊猫影子”与“熊猫烧香”主要病毒特征大同小异。它会通过自身携带的密码字典破解计算机中的用户名和密码,扫描磁盘感染EXE、SCR、PIF、COM、BAT等类型文件。受到感染的计算机登录互联网后,会经过一系列“网站接力”,最终连接到广东某地的一个指定网站下载“灰鸽子”木马,其作案手段十分狡猾。
&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿�&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿� 而“熊猫影子”编写者公然为“熊猫烧香”鸣不平。他在病毒源代码中写道:“我鄙视那些用于商业的杀毒软件。熊猫走了,俊哥(‘熊猫烧香’编写者李俊)也走了,但是我会继承他的一切,继续为促进中国网民的安全意识而无私地作贡献。”
&defk<Ä�ÿ*a®bbs.sm1949.comk�c?B͵V¿�
