灰鸽子变种行凶 黑客可完全控制受感染的电脑[color=blue] 今日提醒用户特别注意以下病毒:“灰鸽子2007”(Win32.Hack.Huigezi)和“小木马”变种DS(Win32.Troj.Small.ds)。
W;`,X�i�L7F..
�i�}�k:H!z7y6x..
“灰鸽子2007”(Win32.Hack.Huigezi)是一个后门黑客程序。
�X�b�t�o&Z�V7@�K�b�@3v..
,k�n
p�H1v"r�M'u4m;f..
“小木马”变种DS(Win32.Troj.Small.ds)是一个会自动下载并运行其他盗号病毒的木马病毒。
�j;o7\7d6\%z..
"}�C�} h�J
|..
一、“灰鸽子2007”(Win32.Hack.Huigezi) 威胁级别:1级
�S.F-m�k�Y6a*D..
病毒特征:该病毒是2007年的新的灰鸽子变种,它会利用一些特殊技术,将自身伪装成电脑上的正常文件,并能躲避网络防火墙软件的监控,使其难以被用户发现。此外,黑客可以利用控制端对受感染电脑进行远程控制,并进行多种危险操作,包括查看并获取电脑系统信息,从网上下载任意的指定恶意文件,记录用户键盘和鼠标操作,盗取用户隐私信息,如QQ,网游和网上银行的帐号等有效信息,执行系统命令,关闭指定进程等。如果它发现用户的电脑上安装有摄像头,还会自动将其开启并将拍摄的屏幕画面发送给黑客。不但影响用户电脑系统的正常运作,而且会导致用户的网络私人信息和数据的泄漏。
/S�s-A(X�|�|�e8e..
'F�S+d�v.s�t..
发作症状:该病毒运行后,会将自身伪装为系统正常进程Winlogon.exe,并释放WinLog0n.dll另一个病毒文件。它会在电脑系统里添加一个名字为gs2007的伪Windows安全登录程序。同时在受感染的机器上开启端口,当成功连接黑客的控制端后,黑客便可以完全控制受感染的电脑。 二、“小木马”变种DS (Win32.Troj.Small.ds)威胁级别:
(u&H�y�d4`..
(w1M�R�d$X�n�\�} l3K�h..
病毒特征:该病毒是一个木马下载器,当它发现用户电脑上的IE可用时,就会自动连接指定的恶意站点,下载并运行其它9个病毒。这9个病毒都是盗号木马病毒,它们会记录用户电脑的操作信息,窃取网络游戏,QQ和网上银行的帐号信息等,并把盗取的信息发送给木马种植者。对用户电脑信息安全及隐私数据构成极大的威胁。
2Y�M
H;b"H�U..
�|$W9~9t�@�p:]1I..
发作症状:该病毒运行后,会释放一个msgcom.dll病毒文件。然后自动连接到h**p://www.iasz.***/cq/cq.exe等9个恶意站点,进行病毒下载。
%C�D�s�{�N�|$e�Y*R
E..
�t�Y�z5F,n�S�v%c3^"@-a..
)P�G�T�B�b..
[/color]
5F�W p
z4z�z�l..
[size=5]“灰鸽子”专杀工具[url=http://www.duba.net/zt/huigezi/]http://www.duba.net/zt/huigezi/[/url][/size]
;w6u�i4w2Y..
[size=4][color=red]“灰鸽子”是一款集多种控制方法于一体隐蔽性极强的木马病毒,一旦用户电脑不幸感染了灰鸽子,黑客或不法份子便可以在电脑进行绝大多数操作,可以监控我们的一举一动,要窃取我们的帐号、网银、文件轻而易举。 灰鸽子病毒英文名为win32.hack.huigezi,这个木马黑客工具大致于2001年出现在互联网,当时被判定为高危木马,经过作者的不懈努力,该病毒从2004年起连续三年荣登国内10大病毒排行榜,至今已经衍生出超过6万个变种。
�b�]:A�z�v�V9N..
,^-j�x2y+F�F+S�s�R(j4^..
认识灰鸽子:
�Y ^5F�K�Y2E�b"X!l f�z
g..
8M�]0j�] }+s,Q�F!J..
几乎所有人都知道熊猫烧香,就是因为这个病毒有个明显的图标。而灰鸽子木马病毒入侵系统后,只有非常有经验的电脑用户才可能发现异常,普通用户根本毫不知情,就好比有个会隐形术的贼在你家中长驻。
g'j#V
C0l4\)q..
3g�r�p�p�T ^�Q..
灰鸽子病毒的文件名由攻击者任意定制,病毒还可以注入正常程序的进程隐藏自己, Windows的任务管理器看不到病毒存在,需要借助第三方工具软件查看。
-Q2W�\�r�}6]6@�@5T..
�x�A/z(~!B�^2K9L�i�w�?..
中灰鸽子病毒后的电脑会被远程攻击者完全控制,具备和你一样的管理权限,远程黑客可以轻易的复制、删除、上传、下载保存在你电脑上的文件,机密文件在你毫不知情的情况下被窃取。病毒还可以记录每一个点击键盘的操作,你的QQ号、网络游戏帐号、网上银行帐号,可以被远程攻击者轻松获得。更变态的是,远程攻击者可以直接控制你的摄像头,把你家里拍个遍。并且,远程攻击者在窃取资料后,还可以远程将病毒卸载,达到销毁证据的目的。这好比隐形的贼在你家拿走东西,大大方方的从隐形的门走出去,而你却根本不知道自己丢了东西。
�D�p�s�|�}�S�E�C�v�f�B#G..
�g�R6Q+r�`3a�Y�[6O..
灰鸽子如何传播?
/c�m%u�y8L5j0{..
'Q8Y�A�q�v0`
x;F�P3T..
灰鸽子自身并不具备传播性,一般通过捆绑的方式进行传播。灰鸽子传播的四大途径:网页传播、邮件传播、IM聊天工具传播、非法软件传播。
!_!y)L�p(h�b%d..
+}�g%V*T1h9h6n!`..
网页传播:病毒制作者将灰鸽子病毒植入网页中,用户浏览即感染;
+h�f�i&D,_5V�q#e..
!w"L�a�g3M�O�t
O$O/B
U..
邮件传播:灰鸽子被捆绑在邮件附件中进行传播;
�F�s�]!g;V;a9K5Q/^..
�u�c3Z4h�A..
IM聊天工具传播:通过即时聊天工具传播携带灰鸽子的网页链接或文件。
�w�d�H*W�M�j2U N�t�x3P..
._�B�y�D�x8V�c4X6d..
非法软件传播:病毒制作者将灰鸽子病毒捆绑进各种非法软件,用户下载解压安装即感染。
9F�P�E"j�F l+T..
�l N�_�n!].d)X..
灰鸽子七宗罪
'y8L/F*o�w7]..
0_�}
L�n1h"x�C..
1. 盗号
0I�Z�W h�j1b..
&b�S"t6H)[�@(\..
灰鸽子入侵用户电脑后,可通过键盘记录器等手段记录用户的键盘输入信息,无论是QQ、网络游戏、网上银行的账号密码都难逃被盗厄运。热门网络游戏魔兽争霸曾发生一个区服大量账号短时间内被盗,引起数千玩家集中投诉;此外,2006年10月,BTV7《生活面对面》节目报道网银账户内1万余元被分15次盗走,警方在事主的电脑查获灰鸽子病毒。
3|�X
]#Z:h�S�N�P6j F6s�y j..
�h*s*b�k�f�i�j
_/Y..
2. 偷窥隐私
�i�T�Q3V0R�R"W..
8W+m(v�d�g�s�G..
灰鸽子可通过远程控制用户电脑上的摄像头偷窥用户隐私。只要用户的机器处于开机状态,远程操控者就可以自动开启用户的摄像头,窥探用户隐私。知道自己家里隐藏了一只远在千里之外的眼睛,肯定会令你毛骨悚然。
%Y)f�s�U4|�t
u�J4m..
�z�N;e�f-F�p)w..
3. 敲诈
�F�@)`"B�o�P+O�G,P�L..
+h�V!\�}�h7V&A1n�X..
黑客利用灰鸽子病毒完全控制被感染者电脑,电脑中的任何文件都可以任意处置,黑客一旦发现对用户比较隐私或机密的东西,立刻将其转移到其他地方,然后对用户进行勒索,与现实生活中的敲诈一样,利用网络进行偷窃、敲诈的行为同样是违法行为。3月7日,BTV1《法制进行时》曾报道江西瑞金一男子使用木马程序盗走受害人裸照,并向事主索要14万元人民币,最后这名男子以敲诈勒索罪被判有期徒刑6年。
�g/m-V�C"m�K
]..
�p/Y�p!r�]�Z�w�P"G..
4. 发展“肉鸡”
2Y,f�[2@7r7r�Y�h.`+A�P(V..
�v�R�w�k�_�`)?�b�m�{..
电脑被人植入木马,这台主机,就被称为"肉鸡",远程攻击者可以对这台"肉鸡"电脑为所欲为。攻击者可控制大量"肉鸡",进行非法获利,比如在"肉鸡"上植入点击广告的软件;利用肉鸡配置代理服务器,以此做为跳板对其它电脑发起入侵。一旦最终受害者追查时,肉鸡电脑将会成为替罪羊;此外,还可以用大量肉鸡组建僵尸网络,随时可以被用于一些特殊目的,比如发起DDoS攻击等。可以想象,如果大量肉鸡被敌对势力控制,将会对我国的网络安全造成什么样的后果。
�?�r�d4F�|�t�R�\"}!H..
"{
L S&[�m�a..
5. 盗取商业机密
�V7D�f�E J�Y�O(S4Y..
�y9K/b.y�O..
通过一些非法途径让那些存放商业机密的电脑感染到灰鸽子,接下来,攻击者窃取有价值的商业文件、机密文件、个人隐私数据等等。攻击者可以偷偷将商业文件进行贩卖,充当商业间谍。如果是国家机密因此受损,后果将不堪设想。
�u�t#g�n�g)v+G..
�|.@9c�S�?1]..
6. 间断性骚扰
:V�}!Y�J�r�A�`�S..
0@�o�G�h7T,_+`�u..
感染灰鸽子病毒后,远程攻击者任意玩弄你的电脑,比如任意打开和关闭文档,远程重启电脑,使您无法完成正常任务。
�c
l�g�B+W7?�o..
�l�{�m(a�k"p�}�N�Y..
7. 恶搞性破坏
�H�@
X�P"N..
�x+y!?�_�g-d k..
看谁不顺眼,就可以肆意搞破坏,攻击者可利用灰鸽子对被感染的用户电脑为所欲为,修改注册表、删除重要文件、修改共享、开启代理服务器、下载病毒等等,试想如果你电脑的注册表被恶意篡改、系统文件被删除,而且电脑中还被放了大量病毒,你的电脑将如何?
3w3P-L3S"L�z�]+D..
U�Q�V'I�h�I%z$S2a�t..
预防:
�H"X�S�]&J..
�[8s&Y(E2t..
灰鸽子病毒泛滥已经数年,变种数万,因为病毒具备很好的隐形特性,让人觉得防不胜防。建议网友注意以下几点:
:D,^�E
\�`4y�N..
�Z9n�v-q-W�k%r..
1. 金山毒霸的用户建议使用漏洞扫描修复功能安装系统补丁,在毒霸弹出提醒安装补丁的对话框时,一定要点安装。不是毒霸的用户可以使用Windows Update进行修补。特别注意安装IE浏览器的补丁程序,很多灰鸽子是攻击者故意把病毒放在带漏洞攻击程序的网站上,有漏洞的机器访问这些网站就会中毒。
�Q�c$Q"g
M2t4\�}
e�[�a..
2G�@�J�D�~�|�O!| }�o..
2. 及时升级杀毒软件,注意检查你使用的杀毒软件是否过期,使用盗版杀毒软件(或者一个正版ID用在多台计算机上),是不能正常升级的,特别需要检查。
�L9[�z�q�j!f..
�R�s9]9h�o�S+X�[..
3. 对朋友或陌生人发送来的可疑程序不要运行,别被对方的谎言蒙骗。
�H4?,F�F:L�@ \�X..
+J#m�w*N�X;g9o..
4. 关闭所有磁盘的自动播放功能,避免插入带毒U盘,移动硬盘,数码存储卡中毒。
5J�{;D"U6X
@.C..
�B�I�}�s&K:W..
完全解决方案:
0u�L
]�T�j*I-`�{..
(q-y�]"x�E�I9[#_�G..
由于灰鸽子本身的隐蔽性很强,用Windows系统自带的工具,很难发现灰鸽子入侵。那我们如何去发现电脑中已经被植入的灰鸽子病毒呢?
.e(F�W�g�c..
0T7t0N'[�l3b�g3J�y..
1. 金山毒霸数据流杀毒方案
�d(x�B S�J..
�V�A2M'w�B�C
m�N..
毒霸2007查杀灰鸽子的操作方法
�?�V�R/C�C..
)i7e*N�}�K:k..
第一步:升级金山毒霸到最新版本。
/f(e�s�U9e8B3S..
�Z�C�n
g�d�h-O�D..
第二步:执行全盘查杀病毒,查杀灰鸽子病毒及全部变种。
�~�V6c"~'}�J!Z..
^2{.K�q�t..
第三步:确保毒霸实时监控在运行状态,一旦灰鸽子入侵,金山毒霸会及时拦截.
5R-k7t,D�]..
2. 灰鸽子病毒专杀工具
�Y�z0m0J9D..
�c
w�n�x�D4N |�C..
金山毒霸提供了免费的"灰鸽子"专杀工具,将数据流查杀技术集成到这个专杀工具中,可完全清除各种经过特殊变形处理的灰鸽子病毒。
�k�X�o�s�[�H..
�w�o�] b�K..
3. 手工杀毒
)e N�F2O$?�s)D..
6J:U�i�j�H4a�n*A�g [�l..
需要借助工具软件:冰刃。一般用户无法根据进程列表看出哪个是病毒,你可以启动冰刃的同时,打开任务管理器,比较一下,看冰刃里多出的一个进程,可能就是灰鸽子病毒。进程名如果是假冒word、记事本的图标,需要重点关注。
/P�o�h1j�J�P3]:d..
�c9]#J�~"m�H�T&t..
选中上图G_server2007进程,单击右键,结束进程。结束进程后,我们直接根据上图冰刃的提示,点冰刃左边的文件,浏览到上图程序名称提示的文件夹,找到g_server2007.exe和g_server2007.DLL(灰鸽子中毒后的文件名各不相同,是由攻击者定制的,应尽可能根据冰刃提示的路径去查找。有的版本带有_hook.dll,可以查看下文件日期,应该是同时生成的。)点击右键,彻底删除掉。
:S)I9Q-s�C3A�s..
[/color][/color]