农企新闻网

电脑病毒大战杀毒软件(电脑病毒“灰鸽子”)

发布者:陈悦
导读大家好,农企新闻小编来为大家解答以上问题。电脑病毒大战杀毒软件,电脑病毒“灰鸽子”很多人还不知道,现在让我们一起来看看吧!灰鸽病毒灰鸽可以连续捕捉远程电脑屏幕,监控被控电脑上的摄像头,自动打开电脑,

大家好,农企新闻小编来为大家解答以上问题。电脑病毒大战杀毒软件,电脑病毒“灰鸽子”很多人还不知道,现在让我们一起来看看吧!

灰鸽病毒:

灰鸽可以连续捕捉远程电脑屏幕,监控被控电脑上的摄像头,自动打开电脑,用摄像头记录。到2006年底,“灰鸽子”木马的变种已经超过6万种。合法使用时是一款优秀的远程控制软件。如果你做了违法的事情,灰鸽子就成了一个强大的黑客工具。灰鸽子客户端和服务器是用Delphi写的。黑客使用客户端程序来配置服务器程序。可配置信息主要包括联机类型、活动连接使用的公共IP、连接密码、使用的端口、启动项名称、服务名称、进程隐藏模式、使用的shell、代理、图标等。

中文名灰鸽子

自2001年灰鸽诞生以来,就被反病毒专业人士判定为最危险的后门程序,引起了安全领域的极大关注。2004年、2005年、2006年,灰鸽木马连续三年被国内各大反病毒厂商评选为年度十大病毒。灰鸽子也因此成名,逐渐成为媒体和网友的焦点。人们在震惊灰鸽给广大电脑用户带来的危害的同时,也不禁要问,灰鸽是如何从模仿其他病毒起步,发展成为国内十大影响力病毒之一,甚至是毒王的?[1]

灰鸽从2001年出现至今,经历了模仿期、快速发展期、黑客时代三大阶段。

灰鸽服务器被炮轰后只有70kb,比葛军的灰鸽小了近10倍,全国多线程在线分组。可视化远程开户。可以避开主流管理员的检测手段。隐蔽性强。

模仿期,快速发展期,全民黑客时代

2001 -2003, 2004 -2005, 2006 -2007

模仿期

(2001 -2003)

2001年,国内互联网逐渐普及,随着互联网的发展,网络病毒日益取代传统病毒。2002年,通过“电子邮件”、“网络下载浏览”传播的病毒开始大量涌现,互联网安全成为公众关注的焦点。[2]

同时,随着互联网的普及,人们可以在家里工作和学习,SOHO越来越受欢迎。有了网络,我们可以用城市一边的电脑来控制另一边的电脑,这样我们就不用花费大量的精力去操作机房的服务器,远程控制管理软件就这样诞生了。

2002年,远程控制软件已经进入成熟阶段,是网络管理员的必备工具。但与此同时,一些带有恶意行为的远程控制软件(后门)也在互联网中流传,其中国内最著名的就是“冰川”木马的后门。当时“冰川”被广泛用于控制各种网络服务器。黑客成功攻陷一台服务器后,会安装在“冰川”的服务器上。2002年,在中国十大病毒中排名第三。

灰鸽子在模仿“冰川”刚出现的时候。“灰鸽子”出现在2001年。它是用Delphi写的,但最早并没有作为成品发布。它以技术研究的形式出现在互联网上,采用了源代码共享的方式。至今仍能搜索到“灰鸽子”早期版本的源代码。“灰鸽子”出现时,使用了当时讨论最多的“反弹端口”的连接方式,避免了大部分个人网络防火墙的拦截。“灰鸽子”当时还没有“冰川”出名,所以只有少量感染。但其开源的方式也让“灰鸽子”逐渐加大了传播力度。

灰鸽子出现后,它的源代码是开放的,所以出现了很多不同的版本。由于服务器都是以一种隐藏的方式启动的,它确立了其作为恶意后门特洛伊木马的地位。当时以金山毒霸为首的大部分安全厂商都将用户举报和监控的“灰鸽子”服务器认定为“黑客程序”,并坚决查杀,这在一定程度上遏制了灰鸽子的发展速度。

快速发展期

(2004 -2005)

2004-2005年,中国互联网化进程发展迅速,大量商业行为互联网化。电子商务成为普通网民消费的选择之一,网络游戏在中国遍地开花。在这个时代,计算机病毒已经逐渐转向经济利益的方向。大量通过IM(即时通讯软件)传播的木马/黑客/病毒,不择手段从用户系统中窃取网银账号、网游账号和密码。这些病毒对中国互联网提出了新的挑战,——用户的虚拟资产正受到威胁。[3]

也是在2004-2005年间,灰鸽逐渐进入成熟状态。由于源代码的发布,互联网上衍生出了大量的品种。2004年,发现了1000多种灰鸽子,2005年,这一数字迅速上升到3000多种。“灰鸽子”最大的危害在于它在用户系统中的埋伏。由于其“反弹端口”原理,局域网(企业网)中的部分用户也受到“灰鸽子”的侵害,受害者数量大大增加。2004年的感染统计数据如下

  2005年,金山毒霸针对病毒泛滥,特别是像“灰鸽子”这样一类恶性木马,采取了严打的措施,提高病毒库升级周期,加强应急处理流程,而在技术上积极研究对策,最大限度的减少“灰鸽子”给用户带来的危害。

  全民黑客时代

  (2006年-2007年)

  2006年,电脑病毒呈爆炸式增长,360云安全中心共截获新增病毒样本总计681428种,其中木马病毒新增数占总病毒新增数的73%,高达175313种;随着计算机技术的普及,由于制作工具的泛滥,病毒变种增多病毒的制作也逐渐呈现商业化的运作。某些制作者小组甚至可以根据使用者的要求为其提供针对特定目标的专门版本。病毒程序的模块化使得病毒制作的门槛降低,很多具备一定计算机知识的用户可以根据自己的需要对其自行组合。因此2006年病毒的变种迅速增加,以典型的“灰鸽子”木马为例,高峰时期几乎每天增加10余个不同变种,迄今为止共出现了6万余种变种,并连续三年荣登国内10大病毒排行榜。而且这类木马往往通过自我升级功能频繁的进行更新以对抗反病毒软件。

  2007年2月23日,灰鸽子2007 beta2版本发布。该版本的隐形性更强,可以任意插入常见的程序,比如QQ,下载工具等等,程序性能也得到提升,可以同时监视多个目标主机,并对远程监视的计算机进行如下操作:编辑注册表;上传下载文件;查看系统信息、进程、服务;查看操作窗口、记录键盘、修改共享、开启代理服务器、命令行操作、监视远程屏幕、操控远程语音视频设备、关闭、重启机器等。而由于灰鸽子采取了直接进程注入方式,利用HOOK API的方式实现病毒文件及病毒进程的隐藏,所有盗取用户信息的操作,远程计算机的操作人员可能毫不知情。由于操作简单且可视化,所以比较流行,但对网络带宽要求比较高,相对于其它“黑客”程序程序比较庞大。

  发展到今天,灰鸽子已经不仅仅是一个病毒如此简单,其背后已经形成了一条黑色的产业链条,任何一个网络菜鸟都可以通过购买灰鸽子病毒、拜灰鸽子高手为师而成为黑客,可以说,灰鸽子病毒演变到今天,已经催生了全民黑客时代的到来。

  灰鸽子普通网民很难了解到在他们的生活之外竟然有一个如此完整的制造、贩卖病毒的“生态圈”。浏览各大网络论坛,购买、出售灰鸽子木马的人比比皆是,而购买灰鸽子教程、批量出售被灰鸽子控制的“肉鸡”、企图利用灰鸽子进行不法勾当的人更是数不胜数。尤其是伴随着灰鸽子2007的推出,这种不正之风正在互联网迅速蔓延,灰鸽子的猖獗已经到了不得不管的地步!

  2病毒简介编辑

  (1)客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时,灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事,灰鸽子就成了很强大的黑客工具。这就好比火药,用在不同的场合,给人类带来不同的影响。对灰鸽子完整的介绍也许只有灰鸽子作者本人能够说清楚,在此我们只能进行简要介绍。

  灰鸽子灰鸽子客户端和服务端都是采用Delphi编写。黑客利用客户端程序配置出服务端程序。可配置的信息主要包括上线类型(如等待连接还是主动连接)、主动连接时使用的公网IP(域名)、连接密码、使用的端口、启动项名称、服务名称,进程隐藏方式,使用的壳,代理,图标等等。

  服务端对客户端连接方式有多种,使得处于各种网络环境的用户都可能中毒,包括局域网用户(通过代理上网)、公网用户和ADSL拨号用户等。

  因涉及互联网安全法律纠纷问题,自2007年3月21日起灰鸽子已全面停止开发和注册。互联网上现存灰鸽子版本为以前所开发灰鸽子软件及其修改版。

  (2)作者葛军(1982-? )安徽潜山人,灰鸽子工作室管理员,精通Delphi、ASP、数据库编程,2001年首次将反弹连接应用在远程控制软件上,随后掀起了国内远程控制软件使用反弹连接的热潮,2005年4月,将虚拟驱动技术应用到灰鸽子屏幕控制上,使灰鸽子的屏幕控制达到了国际先进水平。

  葛军,“灰鸽子工作室”的创办者,一个低调而又引人注目的程序员。

  (3)服务端:

  配置出来的服务端文件文件名为G_Server.exe(这是默认的,当然也可以改变)。然后黑客利用一切办法诱骗用户运行G_Server.exe程序。

  G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的Winnt目录),然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端, G_Server_Hook.dll负责隐藏灰鸽子。通过截获进程的API调用隐藏灰鸽子的文件、服务的注册表项,甚至是进程中的模块名。截获的函数主要是用来遍历文件、遍历注册表项和遍历进程模块的一些函数。所以,有些时候用户感觉中了毒,但仔细检查却又发现不了什么异常。有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意,G_Server.exe这个名称并不固定,它是可以定制的,比如当定制服务端文件名为A.exe时,生成的文件就是A.exe、A.dll和A_Hook.dll。

  灰鸽子Windows目录下的G_Server.exe文件将自己注册成服务(9X系统写注册表启动项),每次开机都能自动运行,运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能,与控制端客户端进行通信;G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此,中毒后,我们看不到病毒文件,也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同,G_Server_Hook.dll有时候附在Explorer.exe的进程空间中,有时候则是附在所有进程中。

  灰鸽子的作者对于如何逃过杀毒软件的查杀花了很大力气。由于一些API函数被截获,正常模式下难以遍历到灰鸽子的文件和模块,造成查杀上的困难。要卸载灰鸽子动态库而且保证系统进程不崩溃也很麻烦,因此造成了近期灰鸽子在互联网上泛滥的局面。看了此文电脑病毒“灰鸽子”的人还看了:

1.怎么清除灰鸽子病毒

2.电脑病毒严重性和处罚

3.关于电脑病毒的论文

4.世界上20大电脑病毒

5.典型计算机病毒的相关介绍