電腦病毒“灰鴿子”
灰鴿子(Hack. Huigezi)是一個集多種控制方法于一體的木馬病毒,用戶電腦不幸感染,一舉一動就都在黑客的監(jiān)控之下,竊取賬號、密碼、照片、重要文件都輕而易舉,下面學習啦小編為大家詳細的介紹下灰鴿子病毒,希望對你有幫助,謝謝。
灰鴿子病毒:
灰鴿子還可以連續(xù)捕獲遠程電腦屏幕,還能監(jiān)控被控電腦上的攝像頭,自動開機并利用攝像頭進行錄像。截至2006年底,“灰鴿子”木馬已經(jīng)出現(xiàn)了6萬多個變種。合法情況下使用,它是一款優(yōu)秀的遠程控制軟件。如果做一些非法的事,灰鴿子就成了強大的黑客工具。灰鴿子客戶端和服務端采用Delphi編寫。黑客利用客戶端程序配置出服務端程序??膳渲玫男畔⒅饕ㄉ暇€類型、主動連接時使用的公網(wǎng)IP、連接密碼、使用的端口、啟動項名稱、服務名稱,進程隱藏方式,使用的殼,代理,圖標等等。
中文學名灰鴿子
自2001年,灰鴿子誕生之日起,就被反病毒專業(yè)人士判定為最具危險性的后門程序,并引發(fā)了安全領域的高度關注。2004年、2005年、2006年,灰鴿子木馬連續(xù)三年被國內(nèi)各大殺毒廠商評選為年度十大病毒,灰鴿子也因此聲名大噪,逐步成為媒體以及網(wǎng)民關注的焦點。人們在震驚于灰鴿子給廣大電腦用戶帶來的危害的同時,不禁要問,灰鴿子是如何從一個模仿其他病毒開始,發(fā)展成為國內(nèi)極具影響的十大病毒、甚至毒王的呢?[1]
灰鴿子自2001年出現(xiàn)至今,主要經(jīng)歷了模仿期、飛速發(fā)展期以及全民黑客時代三大階段。
灰鴿子服務端加殼之后僅有70kb,比葛軍的灰鴿子小了近10倍。國家多線程上線分組??梢暬h程開戶??梢远氵^主流管理員的檢測方式。隱蔽性強。
模仿期飛速發(fā)展期全民黑客時代
2001年-2003年2004年-2005年2006年-2007年
模仿期
(2001年-2003年)
2001年,國內(nèi)互聯(lián)網(wǎng)逐步走向普及,網(wǎng)絡病毒也伴隨著互聯(lián)網(wǎng)的發(fā)展日益取代傳統(tǒng)意義上的病毒,而到了2002年,以“電子郵件”、“網(wǎng)絡下載和瀏覽”等方式傳播的病毒開始大量涌現(xiàn),互聯(lián)網(wǎng)安全成為大眾關注的焦點。[2]
與此同時,隨著網(wǎng)絡的普及,人們已經(jīng)可以足不出戶的工作和學習,SOHO越來越受到人們的青睞。有了網(wǎng)絡我們可以在城市的一邊使用計算機控制另外一邊的計算機,從而不用我們花費大量精力親自到機房操作服務器,遠程控制管理軟件也由此誕生。
2002年,遠程控制軟件已經(jīng)步入了成熟階段,是網(wǎng)管人員必備的工具。但同時一些帶有惡意行為的遠程控制軟件(后門)也在互聯(lián)網(wǎng)中流傳,其中國內(nèi)最為著名的就是“冰河”木馬后門。“冰河”在當時被泛濫的用于控制各種網(wǎng)絡服務器,在黑客成功攻陷一個服務器后,都會被安裝上“冰河”的服務端,2002年的中國10大病毒中,位列第三位。
而灰鴿子最早出現(xiàn)的時候就是在模仿“冰河”。“灰鴿子”是2001年出現(xiàn)的,采用Delphi編寫,最早并未以成品方式發(fā)布,更多的是以技術研究的姿態(tài),采用了源碼共享的方式出現(xiàn)在互聯(lián)網(wǎng),至今仍可搜索到“灰鴿子”早期版本的源碼。“灰鴿子”在出現(xiàn)的時候使用了當時討論最多的“反彈端口”連接方式,用以躲避大多數(shù)個人網(wǎng)絡防火墻的攔截。“灰鴿子”在當時的名氣不及“冰河”,因此只出現(xiàn)了少量的感染,但其開放源碼的方式也讓“灰鴿子”逐漸增大了傳播量。
灰鴿子出現(xiàn)后以源碼開放,所以出現(xiàn)多種不同的版本,由于服務端都以隱藏方式啟動,就奠定了其惡意后門木馬的地位,當時,以金山毒霸為首的大部分安全廠商將對用戶上報和監(jiān)測到的“灰鴿子”服務端都認定為“黑客程序”,并堅決查殺,在一定程度上遏制了灰鴿子的發(fā)展速度。
飛速發(fā)展期
(2004年-2005年)
從2004年至2005年,中國互聯(lián)網(wǎng)化進程飛速發(fā)展,大量的商業(yè)動作實現(xiàn)了互聯(lián)網(wǎng)化,電子商務成為普通網(wǎng)民進行消費的選擇之一,網(wǎng)絡游戲在中國大地全面開花。在這樣的年代下,計算機病毒也逐步轉(zhuǎn)向了以經(jīng)濟利益為中心的方向發(fā)展。大量通過IM(即時通訊軟件)傳播的木馬/黑客/病毒,它們不擇手段的從用戶系統(tǒng)中盜取網(wǎng)銀帳號、網(wǎng)游帳號及密碼。這些病毒給中國互聯(lián)網(wǎng)提出了新的考驗——用戶的網(wǎng)絡虛擬資產(chǎn)正在受到威脅。[3]
也就在2004和2005這兩年之間,灰鴿子逐步進入了成熟的狀態(tài),由于源碼的釋放,大量變種在互聯(lián)網(wǎng)中衍生。2004年灰鴿子總共發(fā)現(xiàn)了1000多變種,而在2005年,這個數(shù)字迅速上升到了3000多。“灰鴿子”最大的危害在于替伏在用戶系統(tǒng)中,由于其使用的“反彈端口”原理,一些在局域網(wǎng)(企業(yè)網(wǎng))中的用戶也受到了“灰鴿子”的侵害,使得受害用戶數(shù)大大提高,2004年的感染統(tǒng)計表現(xiàn)為103483人,而到2005年數(shù)字攀升到890321人。“灰鴿子”本身所具備的鍵盤記錄、屏幕捕捉、文件上傳下載和運行、攝像頭控制等功能,將使用戶沒任何隱私可言,更可怕的是服務端高度隱藏自己,是受害者無從得知感染此病毒。
2005年,金山毒霸針對病毒泛濫,特別是像“灰鴿子”這樣一類惡性木馬,采取了嚴打的措施,提高病毒庫升級周期,加強應急處理流程,而在技術上積極研究對策,最大限度的減少“灰鴿子”給用戶帶來的危害。
全民黑客時代
(2006年-2007年)
2006年,電腦病毒呈爆炸式增長,360云安全中心共截獲新增病毒樣本總計681428種,其中木馬病毒新增數(shù)占總病毒新增數(shù)的73%,高達175313種;隨著計算機技術的普及,由于制作工具的泛濫,病毒變種增多病毒的制作也逐漸呈現(xiàn)商業(yè)化的運作。某些制作者小組甚至可以根據(jù)使用者的要求為其提供針對特定目標的專門版本。病毒程序的模塊化使得病毒制作的門檻降低,很多具備一定計算機知識的用戶可以根據(jù)自己的需要對其自行組合。因此2006年病毒的變種迅速增加,以典型的“灰鴿子”木馬為例,高峰時期幾乎每天增加10余個不同變種,迄今為止共出現(xiàn)了6萬余種變種,并連續(xù)三年榮登國內(nèi)10大病毒排行榜。而且這類木馬往往通過自我升級功能頻繁的進行更新以對抗反病毒軟件。
2007年2月23日,灰鴿子2007 beta2版本發(fā)布。該版本的隱形性更強,可以任意插入常見的程序,比如QQ,下載工具等等,程序性能也得到提升,可以同時監(jiān)視多個目標主機,并對遠程監(jiān)視的計算機進行如下操作:編輯注冊表;上傳下載文件;查看系統(tǒng)信息、進程、服務;查看操作窗口、記錄鍵盤、修改共享、開啟代理服務器、命令行操作、監(jiān)視遠程屏幕、操控遠程語音視頻設備、關閉、重啟機器等。而由于灰鴿子采取了直接進程注入方式,利用HOOK API的方式實現(xiàn)病毒文件及病毒進程的隱藏,所有盜取用戶信息的操作,遠程計算機的操作人員可能毫不知情。由于操作簡單且可視化,所以比較流行,但對網(wǎng)絡帶寬要求比較高,相對于其它“黑客”程序程序比較龐大。
發(fā)展到今天,灰鴿子已經(jīng)不僅僅是一個病毒如此簡單,其背后已經(jīng)形成了一條黑色的產(chǎn)業(yè)鏈條,任何一個網(wǎng)絡菜鳥都可以通過購買灰鴿子病毒、拜灰鴿子高手為師而成為黑客,可以說,灰鴿子病毒演變到今天,已經(jīng)催生了全民黑客時代的到來。
灰鴿子普通網(wǎng)民很難了解到在他們的生活之外竟然有一個如此完整的制造、販賣病毒的“生態(tài)圈”。瀏覽各大網(wǎng)絡論壇,購買、出售灰鴿子木馬的人比比皆是,而購買灰鴿子教程、批量出售被灰鴿子控制的“肉雞”、企圖利用灰鴿子進行不法勾當?shù)娜烁菙?shù)不勝數(shù)。尤其是伴隨著灰鴿子2007的推出,這種不正之風正在互聯(lián)網(wǎng)迅速蔓延,灰鴿子的猖獗已經(jīng)到了不得不管的地步!
2病毒簡介編輯
(1)客戶端簡易便捷的操作使剛?cè)腴T的初學者都能充當黑客。當使用在合法情況下時,灰鴿子是一款優(yōu)秀的遠程控制軟件。但如果拿它做一些非法的事,灰鴿子就成了很強大的黑客工具。這就好比火藥,用在不同的場合,給人類帶來不同的影響。對灰鴿子完整的介紹也許只有灰鴿子作者本人能夠說清楚,在此我們只能進行簡要介紹。
灰鴿子灰鴿子客戶端和服務端都是采用Delphi編寫。黑客利用客戶端程序配置出服務端程序??膳渲玫男畔⒅饕ㄉ暇€類型(如等待連接還是主動連接)、主動連接時使用的公網(wǎng)IP(域名)、連接密碼、使用的端口、啟動項名稱、服務名稱,進程隱藏方式,使用的殼,代理,圖標等等。
服務端對客戶端連接方式有多種,使得處于各種網(wǎng)絡環(huán)境的用戶都可能中毒,包括局域網(wǎng)用戶(通過代理上網(wǎng))、公網(wǎng)用戶和ADSL撥號用戶等。
因涉及互聯(lián)網(wǎng)安全法律糾紛問題,自2007年3月21日起灰鴿子已全面停止開發(fā)和注冊?;ヂ?lián)網(wǎng)上現(xiàn)存灰鴿子版本為以前所開發(fā)灰鴿子軟件及其修改版。
(2)作者葛軍(1982-? )安徽潛山人,灰鴿子工作室管理員,精通Delphi、ASP、數(shù)據(jù)庫編程,2001年首次將反彈連接應用在遠程控制軟件上,隨后掀起了國內(nèi)遠程控制軟件使用反彈連接的熱潮,2005年4月,將虛擬驅(qū)動技術應用到灰鴿子屏幕控制上,使灰鴿子的屏幕控制達到了國際先進水平。
葛軍,“灰鴿子工作室”的創(chuàng)辦者,一個低調(diào)而又引人注目的程序員。
(3)服務端:
配置出來的服務端文件文件名為G_Server.exe(這是默認的,當然也可以改變)。然后黑客利用一切辦法誘騙用戶運行G_Server.exe程序。
G_Server.exe運行后將自己拷貝到Windows目錄下(98/xp下為系統(tǒng)盤的windows目錄,2k/NT下為系統(tǒng)盤的Winnt目錄),然后再從體內(nèi)釋放G_Server.dll和G_Server_Hook.dll到windows目錄下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三個文件相互配合組成了灰鴿子服務端, G_Server_Hook.dll負責隱藏灰鴿子。通過截獲進程的API調(diào)用隱藏灰鴿子的文件、服務的注冊表項,甚至是進程中的模塊名。截獲的函數(shù)主要是用來遍歷文件、遍歷注冊表項和遍歷進程模塊的一些函數(shù)。所以,有些時候用戶感覺中了毒,但仔細檢查卻又發(fā)現(xiàn)不了什么異常。有些灰鴿子會多釋放出一個名為G_ServerKey.dll的文件用來記錄鍵盤操作。注意,G_Server.exe這個名稱并不固定,它是可以定制的,比如當定制服務端文件名為A.exe時,生成的文件就是A.exe、A.dll和A_Hook.dll。
灰鴿子Windows目錄下的G_Server.exe文件將自己注冊成服務(9X系統(tǒng)寫注冊表啟動項),每次開機都能自動運行,運行后啟動G_Server.dll和G_Server_Hook.dll并自動退出。G_Server.dll文件實現(xiàn)后門功能,與控制端客戶端進行通信;G_Server_Hook.dll則通過攔截API調(diào)用來隱藏病毒。因此,中毒后,我們看不到病毒文件,也看不到病毒注冊的服務項。隨著灰鴿子服務端文件的設置不同,G_Server_Hook.dll有時候附在Explorer.exe的進程空間中,有時候則是附在所有進程中。
灰鴿子的作者對于如何逃過殺毒軟件的查殺花了很大力氣。由于一些API函數(shù)被截獲,正常模式下難以遍歷到灰鴿子的文件和模塊,造成查殺上的困難。要卸載灰鴿子動態(tài)庫而且保證系統(tǒng)進程不崩潰也很麻煩,因此造成了近期灰鴿子在互聯(lián)網(wǎng)上泛濫的局面。
看了此文電腦病毒“灰鴿子”的人還看了: