電腦病毒“灰鴿子”
灰鴿子(Hack. Huigezi)是一個(gè)集多種控制方法于一體的木馬病毒,用戶電腦不幸感染,一舉一動(dòng)就都在黑客的監(jiān)控之下,竊取賬號(hào)、密碼、照片、重要文件都輕而易舉,下面學(xué)習(xí)啦小編為大家詳細(xì)的介紹下灰鴿子病毒,希望對(duì)你有幫助,謝謝。
灰鴿子病毒:
灰鴿子還可以連續(xù)捕獲遠(yuǎn)程電腦屏幕,還能監(jiān)控被控電腦上的攝像頭,自動(dòng)開機(jī)并利用攝像頭進(jìn)行錄像。截至2006年底,“灰鴿子”木馬已經(jīng)出現(xiàn)了6萬多個(gè)變種。合法情況下使用,它是一款優(yōu)秀的遠(yuǎn)程控制軟件。如果做一些非法的事,灰鴿子就成了強(qiáng)大的黑客工具?;银澴涌蛻舳撕头?wù)端采用Delphi編寫。黑客利用客戶端程序配置出服務(wù)端程序??膳渲玫男畔⒅饕ㄉ暇€類型、主動(dòng)連接時(shí)使用的公網(wǎng)IP、連接密碼、使用的端口、啟動(dòng)項(xiàng)名稱、服務(wù)名稱,進(jìn)程隱藏方式,使用的殼,代理,圖標(biāo)等等。
中文學(xué)名灰鴿子
自2001年,灰鴿子誕生之日起,就被反病毒專業(yè)人士判定為最具危險(xiǎn)性的后門程序,并引發(fā)了安全領(lǐng)域的高度關(guān)注。2004年、2005年、2006年,灰鴿子木馬連續(xù)三年被國(guó)內(nèi)各大殺毒廠商評(píng)選為年度十大病毒,灰鴿子也因此聲名大噪,逐步成為媒體以及網(wǎng)民關(guān)注的焦點(diǎn)。人們?cè)谡痼@于灰鴿子給廣大電腦用戶帶來的危害的同時(shí),不禁要問,灰鴿子是如何從一個(gè)模仿其他病毒開始,發(fā)展成為國(guó)內(nèi)極具影響的十大病毒、甚至毒王的呢?[1]
灰鴿子自2001年出現(xiàn)至今,主要經(jīng)歷了模仿期、飛速發(fā)展期以及全民黑客時(shí)代三大階段。
灰鴿子服務(wù)端加殼之后僅有70kb,比葛軍的灰鴿子小了近10倍。國(guó)家多線程上線分組??梢暬h(yuǎn)程開戶??梢远氵^主流管理員的檢測(cè)方式。隱蔽性強(qiáng)。
模仿期飛速發(fā)展期全民黑客時(shí)代
2001年-2003年2004年-2005年2006年-2007年
模仿期
(2001年-2003年)
2001年,國(guó)內(nèi)互聯(lián)網(wǎng)逐步走向普及,網(wǎng)絡(luò)病毒也伴隨著互聯(lián)網(wǎng)的發(fā)展日益取代傳統(tǒng)意義上的病毒,而到了2002年,以“電子郵件”、“網(wǎng)絡(luò)下載和瀏覽”等方式傳播的病毒開始大量涌現(xiàn),互聯(lián)網(wǎng)安全成為大眾關(guān)注的焦點(diǎn)。[2]
與此同時(shí),隨著網(wǎng)絡(luò)的普及,人們已經(jīng)可以足不出戶的工作和學(xué)習(xí),SOHO越來越受到人們的青睞。有了網(wǎng)絡(luò)我們可以在城市的一邊使用計(jì)算機(jī)控制另外一邊的計(jì)算機(jī),從而不用我們花費(fèi)大量精力親自到機(jī)房操作服務(wù)器,遠(yuǎn)程控制管理軟件也由此誕生。
2002年,遠(yuǎn)程控制軟件已經(jīng)步入了成熟階段,是網(wǎng)管人員必備的工具。但同時(shí)一些帶有惡意行為的遠(yuǎn)程控制軟件(后門)也在互聯(lián)網(wǎng)中流傳,其中國(guó)內(nèi)最為著名的就是“冰河”木馬后門。“冰河”在當(dāng)時(shí)被泛濫的用于控制各種網(wǎng)絡(luò)服務(wù)器,在黑客成功攻陷一個(gè)服務(wù)器后,都會(huì)被安裝上“冰河”的服務(wù)端,2002年的中國(guó)10大病毒中,位列第三位。
而灰鴿子最早出現(xiàn)的時(shí)候就是在模仿“冰河”。“灰鴿子”是2001年出現(xiàn)的,采用Delphi編寫,最早并未以成品方式發(fā)布,更多的是以技術(shù)研究的姿態(tài),采用了源碼共享的方式出現(xiàn)在互聯(lián)網(wǎng),至今仍可搜索到“灰鴿子”早期版本的源碼。“灰鴿子”在出現(xiàn)的時(shí)候使用了當(dāng)時(shí)討論最多的“反彈端口”連接方式,用以躲避大多數(shù)個(gè)人網(wǎng)絡(luò)防火墻的攔截。“灰鴿子”在當(dāng)時(shí)的名氣不及“冰河”,因此只出現(xiàn)了少量的感染,但其開放源碼的方式也讓“灰鴿子”逐漸增大了傳播量。
灰鴿子出現(xiàn)后以源碼開放,所以出現(xiàn)多種不同的版本,由于服務(wù)端都以隱藏方式啟動(dòng),就奠定了其惡意后門木馬的地位,當(dāng)時(shí),以金山毒霸為首的大部分安全廠商將對(duì)用戶上報(bào)和監(jiān)測(cè)到的“灰鴿子”服務(wù)端都認(rèn)定為“黑客程序”,并堅(jiān)決查殺,在一定程度上遏制了灰鴿子的發(fā)展速度。
飛速發(fā)展期
(2004年-2005年)
從2004年至2005年,中國(guó)互聯(lián)網(wǎng)化進(jìn)程飛速發(fā)展,大量的商業(yè)動(dòng)作實(shí)現(xiàn)了互聯(lián)網(wǎng)化,電子商務(wù)成為普通網(wǎng)民進(jìn)行消費(fèi)的選擇之一,網(wǎng)絡(luò)游戲在中國(guó)大地全面開花。在這樣的年代下,計(jì)算機(jī)病毒也逐步轉(zhuǎn)向了以經(jīng)濟(jì)利益為中心的方向發(fā)展。大量通過IM(即時(shí)通訊軟件)傳播的木馬/黑客/病毒,它們不擇手段的從用戶系統(tǒng)中盜取網(wǎng)銀帳號(hào)、網(wǎng)游帳號(hào)及密碼。這些病毒給中國(guó)互聯(lián)網(wǎng)提出了新的考驗(yàn)——用戶的網(wǎng)絡(luò)虛擬資產(chǎn)正在受到威脅。[3]
也就在2004和2005這兩年之間,灰鴿子逐步進(jìn)入了成熟的狀態(tài),由于源碼的釋放,大量變種在互聯(lián)網(wǎng)中衍生。2004年灰鴿子總共發(fā)現(xiàn)了1000多變種,而在2005年,這個(gè)數(shù)字迅速上升到了3000多。“灰鴿子”最大的危害在于替伏在用戶系統(tǒng)中,由于其使用的“反彈端口”原理,一些在局域網(wǎng)(企業(yè)網(wǎng))中的用戶也受到了“灰鴿子”的侵害,使得受害用戶數(shù)大大提高,2004年的感染統(tǒng)計(jì)表現(xiàn)為103483人,而到2005年數(shù)字攀升到890321人。“灰鴿子”本身所具備的鍵盤記錄、屏幕捕捉、文件上傳下載和運(yùn)行、攝像頭控制等功能,將使用戶沒任何隱私可言,更可怕的是服務(wù)端高度隱藏自己,是受害者無從得知感染此病毒。
2005年,金山毒霸針對(duì)病毒泛濫,特別是像“灰鴿子”這樣一類惡性木馬,采取了嚴(yán)打的措施,提高病毒庫升級(jí)周期,加強(qiáng)應(yīng)急處理流程,而在技術(shù)上積極研究對(duì)策,最大限度的減少“灰鴿子”給用戶帶來的危害。
全民黑客時(shí)代
(2006年-2007年)
2006年,電腦病毒呈爆炸式增長(zhǎng),360云安全中心共截獲新增病毒樣本總計(jì)681428種,其中木馬病毒新增數(shù)占總病毒新增數(shù)的73%,高達(dá)175313種;隨著計(jì)算機(jī)技術(shù)的普及,由于制作工具的泛濫,病毒變種增多病毒的制作也逐漸呈現(xiàn)商業(yè)化的運(yùn)作。某些制作者小組甚至可以根據(jù)使用者的要求為其提供針對(duì)特定目標(biāo)的專門版本。病毒程序的模塊化使得病毒制作的門檻降低,很多具備一定計(jì)算機(jī)知識(shí)的用戶可以根據(jù)自己的需要對(duì)其自行組合。因此2006年病毒的變種迅速增加,以典型的“灰鴿子”木馬為例,高峰時(shí)期幾乎每天增加10余個(gè)不同變種,迄今為止共出現(xiàn)了6萬余種變種,并連續(xù)三年榮登國(guó)內(nèi)10大病毒排行榜。而且這類木馬往往通過自我升級(jí)功能頻繁的進(jìn)行更新以對(duì)抗反病毒軟件。
2007年2月23日,灰鴿子2007 beta2版本發(fā)布。該版本的隱形性更強(qiáng),可以任意插入常見的程序,比如QQ,下載工具等等,程序性能也得到提升,可以同時(shí)監(jiān)視多個(gè)目標(biāo)主機(jī),并對(duì)遠(yuǎn)程監(jiān)視的計(jì)算機(jī)進(jìn)行如下操作:編輯注冊(cè)表;上傳下載文件;查看系統(tǒng)信息、進(jìn)程、服務(wù);查看操作窗口、記錄鍵盤、修改共享、開啟代理服務(wù)器、命令行操作、監(jiān)視遠(yuǎn)程屏幕、操控遠(yuǎn)程語音視頻設(shè)備、關(guān)閉、重啟機(jī)器等。而由于灰鴿子采取了直接進(jìn)程注入方式,利用HOOK API的方式實(shí)現(xiàn)病毒文件及病毒進(jìn)程的隱藏,所有盜取用戶信息的操作,遠(yuǎn)程計(jì)算機(jī)的操作人員可能毫不知情。由于操作簡(jiǎn)單且可視化,所以比較流行,但對(duì)網(wǎng)絡(luò)帶寬要求比較高,相對(duì)于其它“黑客”程序程序比較龐大。
發(fā)展到今天,灰鴿子已經(jīng)不僅僅是一個(gè)病毒如此簡(jiǎn)單,其背后已經(jīng)形成了一條黑色的產(chǎn)業(yè)鏈條,任何一個(gè)網(wǎng)絡(luò)菜鳥都可以通過購買灰鴿子病毒、拜灰鴿子高手為師而成為黑客,可以說,灰鴿子病毒演變到今天,已經(jīng)催生了全民黑客時(shí)代的到來。
灰鴿子普通網(wǎng)民很難了解到在他們的生活之外竟然有一個(gè)如此完整的制造、販賣病毒的“生態(tài)圈”。瀏覽各大網(wǎng)絡(luò)論壇,購買、出售灰鴿子木馬的人比比皆是,而購買灰鴿子教程、批量出售被灰鴿子控制的“肉雞”、企圖利用灰鴿子進(jìn)行不法勾當(dāng)?shù)娜烁菙?shù)不勝數(shù)。尤其是伴隨著灰鴿子2007的推出,這種不正之風(fēng)正在互聯(lián)網(wǎng)迅速蔓延,灰鴿子的猖獗已經(jīng)到了不得不管的地步!
2病毒簡(jiǎn)介編輯
(1)客戶端簡(jiǎn)易便捷的操作使剛?cè)腴T的初學(xué)者都能充當(dāng)黑客。當(dāng)使用在合法情況下時(shí),灰鴿子是一款優(yōu)秀的遠(yuǎn)程控制軟件。但如果拿它做一些非法的事,灰鴿子就成了很強(qiáng)大的黑客工具。這就好比火藥,用在不同的場(chǎng)合,給人類帶來不同的影響。對(duì)灰鴿子完整的介紹也許只有灰鴿子作者本人能夠說清楚,在此我們只能進(jìn)行簡(jiǎn)要介紹。
灰鴿子灰鴿子客戶端和服務(wù)端都是采用Delphi編寫。黑客利用客戶端程序配置出服務(wù)端程序??膳渲玫男畔⒅饕ㄉ暇€類型(如等待連接還是主動(dòng)連接)、主動(dòng)連接時(shí)使用的公網(wǎng)IP(域名)、連接密碼、使用的端口、啟動(dòng)項(xiàng)名稱、服務(wù)名稱,進(jìn)程隱藏方式,使用的殼,代理,圖標(biāo)等等。
服務(wù)端對(duì)客戶端連接方式有多種,使得處于各種網(wǎng)絡(luò)環(huán)境的用戶都可能中毒,包括局域網(wǎng)用戶(通過代理上網(wǎng))、公網(wǎng)用戶和ADSL撥號(hào)用戶等。
因涉及互聯(lián)網(wǎng)安全法律糾紛問題,自2007年3月21日起灰鴿子已全面停止開發(fā)和注冊(cè)?;ヂ?lián)網(wǎng)上現(xiàn)存灰鴿子版本為以前所開發(fā)灰鴿子軟件及其修改版。
(2)作者葛軍(1982-? )安徽潛山人,灰鴿子工作室管理員,精通Delphi、ASP、數(shù)據(jù)庫編程,2001年首次將反彈連接應(yīng)用在遠(yuǎn)程控制軟件上,隨后掀起了國(guó)內(nèi)遠(yuǎn)程控制軟件使用反彈連接的熱潮,2005年4月,將虛擬驅(qū)動(dòng)技術(shù)應(yīng)用到灰鴿子屏幕控制上,使灰鴿子的屏幕控制達(dá)到了國(guó)際先進(jìn)水平。
葛軍,“灰鴿子工作室”的創(chuàng)辦者,一個(gè)低調(diào)而又引人注目的程序員。
(3)服務(wù)端:
配置出來的服務(wù)端文件文件名為G_Server.exe(這是默認(rèn)的,當(dāng)然也可以改變)。然后黑客利用一切辦法誘騙用戶運(yùn)行G_Server.exe程序。
G_Server.exe運(yùn)行后將自己拷貝到Windows目錄下(98/xp下為系統(tǒng)盤的windows目錄,2k/NT下為系統(tǒng)盤的Winnt目錄),然后再從體內(nèi)釋放G_Server.dll和G_Server_Hook.dll到windows目錄下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三個(gè)文件相互配合組成了灰鴿子服務(wù)端, G_Server_Hook.dll負(fù)責(zé)隱藏灰鴿子。通過截獲進(jìn)程的API調(diào)用隱藏灰鴿子的文件、服務(wù)的注冊(cè)表項(xiàng),甚至是進(jìn)程中的模塊名。截獲的函數(shù)主要是用來遍歷文件、遍歷注冊(cè)表項(xiàng)和遍歷進(jìn)程模塊的一些函數(shù)。所以,有些時(shí)候用戶感覺中了毒,但仔細(xì)檢查卻又發(fā)現(xiàn)不了什么異常。有些灰鴿子會(huì)多釋放出一個(gè)名為G_ServerKey.dll的文件用來記錄鍵盤操作。注意,G_Server.exe這個(gè)名稱并不固定,它是可以定制的,比如當(dāng)定制服務(wù)端文件名為A.exe時(shí),生成的文件就是A.exe、A.dll和A_Hook.dll。
灰鴿子Windows目錄下的G_Server.exe文件將自己注冊(cè)成服務(wù)(9X系統(tǒng)寫注冊(cè)表啟動(dòng)項(xiàng)),每次開機(jī)都能自動(dòng)運(yùn)行,運(yùn)行后啟動(dòng)G_Server.dll和G_Server_Hook.dll并自動(dòng)退出。G_Server.dll文件實(shí)現(xiàn)后門功能,與控制端客戶端進(jìn)行通信;G_Server_Hook.dll則通過攔截API調(diào)用來隱藏病毒。因此,中毒后,我們看不到病毒文件,也看不到病毒注冊(cè)的服務(wù)項(xiàng)。隨著灰鴿子服務(wù)端文件的設(shè)置不同,G_Server_Hook.dll有時(shí)候附在Explorer.exe的進(jìn)程空間中,有時(shí)候則是附在所有進(jìn)程中。
灰鴿子的作者對(duì)于如何逃過殺毒軟件的查殺花了很大力氣。由于一些API函數(shù)被截獲,正常模式下難以遍歷到灰鴿子的文件和模塊,造成查殺上的困難。要卸載灰鴿子動(dòng)態(tài)庫而且保證系統(tǒng)進(jìn)程不崩潰也很麻煩,因此造成了近期灰鴿子在互聯(lián)網(wǎng)上泛濫的局面。
看了此文電腦病毒“灰鴿子”的人還看了: