[專題]「灰鴿子」大規模爆發危害超熊貓燒香10倍

dullbird · 發表於 2007-3-23 15:02

新華社天津3月14日專電(記者張建新)連續3年的年度十大病毒、被反病毒專家稱為最危險的後門程序的「灰鴿子2007」正在大規模集中爆發。

與「熊貓燒香」病毒的「張揚」不同，「灰鴿子」更像一個隱形的賊，潛伏在用戶「家」中，監視用戶的一舉一動。專家稱，如果說「熊貓燒香」的危害還停留在對電腦自身的破壞，而「灰鴿子」已經發展到對「人」的控制，而被控者的人卻毫不知情。金山總裁雷軍說，從某種意義上講，「灰鴿子」的危害超出「熊貓燒香」10倍。

dullbird · 發表於 2007-3-23 15:03

自2001年，灰鴿子誕生之日起，就被反病毒專業人士判定為最具危險性的後門程序，並引發了安全領域的高度關注。2004年、2005年、2006年，灰鴿子木馬(木馬查殺軟體下載)連續三年被國內各大殺毒廠商評選為年度十大病毒，灰鴿子也因此聲名大噪，逐步成為媒體以及網民關注的焦點。人們在震驚於灰鴿子給廣大電腦用戶帶來的危害的同時，不
禁要問，灰鴿子是如何從一個模仿其他病毒開始，發展成為國內極具影響的十大病毒、甚至毒王的呢？

灰鴿子自2001年出現至今，主要經歷了模仿期、飛速發展期以及全民黑客時代三大階段。

模仿期（2001年-2003年）

2001年，國內網際網路逐步走向普及，網路病毒也伴隨著網際網路的發展日益取代傳統意義上的病毒，而到了2002年，以「電子郵件」、「網路下載和瀏覽」等方式傳播的病毒開始大量湧現，網際網路安全成為大眾關注的焦點。

與此同時，隨著網路的普及，人們已經可以足不出戶的工作和學習，SOHO越來越受到人們的青睞。有了網路我們可以在城市的一邊使用計算機控制另外一邊的計算機，從而不用我們花費大量精力親自到機房操作伺服器，遠程控制管理軟體也由此誕生。

2002年，遠程控制軟體已經步入了成熟階段，是網管人員必備的工具。但同時一些帶有惡意行為的遠程控制軟體（後門）也在網際網路中流傳，其中國內最為著名的就是「冰河」木馬後門。「冰河」在當時被泛濫的用於控制各種網路伺服器，在黑客成功攻陷一個伺服器后，都會被安裝上「冰河」的服務端，2002年的中國10大病毒中，位列第三位。

而灰鴿子最早出現的時候就是在模仿「冰河」。「灰鴿子」是2001年出現的，採用Delphi編寫，最早並未以成品方式發布，更多的是以技術研究的姿態，採用了源碼共享的方式出現在網際網路，至今仍可搜索到「灰鴿子」早期版本的源碼。「灰鴿子」在出現的時候使用了當時討論最多的「反彈埠」連接方式，用以躲避大多數個人網路防火牆的攔截。「灰鴿子」在當時的名氣不及「冰河」，因此只出現了少量的感染，但其開放源碼的方式也讓「灰鴿子」逐漸增大了傳播量。

灰鴿子出現后以源碼開放，所以出現多種不同的版本，由於服務端都以隱藏方式啟動，就奠定了其惡意後門木馬的地位，當時，以金山毒霸為首的大部分安全廠商將對用戶上報和監測到的「灰鴿子」服務端都認定為「黑客程序」，並堅決查殺，在一定程度上遏制了灰鴿子的發展速度。

dullbird · 發表於 2007-3-23 15:04

灰鴿子病毒英文名為win32.hack.huigezi，這個木馬(木馬查殺軟體下載)黑客工具大致於2001年出現在網際網路，當時被判定為高危木馬，經過作者的不懈努力，該病毒從2004年起連續三年榮登國內10大病毒排行榜，至今已經衍生出超過6萬個變種。

認識灰鴿子：

幾乎所有人都知道熊貓燒香，就是因為這個病毒有個明顯的圖標。而灰鴿子木馬病毒入侵系統后，只有非常有經驗的電腦用戶才可能發現異常，普通用戶根本毫不知情，就好比有個會隱形術的賊在你家中長駐。

灰鴿子病毒的文件名由攻擊者任意定製，病毒還可以注入正常程序的進程隱藏自己， Windows的任務管理器看不到病毒存在，需要藉助第三方工具軟體查看。

中灰鴿子病毒后的電腦會被遠程攻擊者完全控制，具備和你一樣的管理許可權，遠程黑客可以輕易的複製、刪除、上傳、下載保存在你電腦上的文件，機密文件在你毫不知情的情況下被竊取。病毒還可以記錄每一個點擊鍵盤的操作，你的QQ號、網路遊戲帳號、網上銀行帳號，可以被遠程攻擊者輕鬆獲得。更變態的是，遠程攻擊者可以直接控制你的攝像頭，把你家裡拍個遍。並且，遠程攻擊者在竊取資料后，還可以遠程將病毒卸載(卸載工具下載)，達到銷毀證據的目的。這好比隱形的賊在你家拿走東西，大大方方的從隱形的門走出去，而你卻根本不知道自己丟了東西。

灰鴿子如何傳播？

灰鴿子自身並不具備傳播性，一般通過捆綁的方式進行傳播。灰鴿子傳播的四大途徑：網頁傳播、郵件傳播、IM聊天工具傳播、非法軟體傳播。

網頁傳播：病毒製作者將灰鴿子病毒植入網頁中，用戶瀏覽即感染；

郵件傳播：灰鴿子被捆綁在郵件附件中進行傳播；

IM聊天工具傳播：通過即時聊天工具傳播攜帶灰鴿子的網頁鏈接或文件。

非法軟體傳播：病毒製作者將灰鴿子病毒捆綁進各種非法軟體，用戶下載解壓安裝即感染。

灰鴿子七宗罪

1. 盜號

灰鴿子入侵用戶電腦後，可通過鍵盤記錄器等手段記錄用戶的鍵盤輸入信息，無論是QQ、網路遊戲、網上銀行的賬號密碼都難逃被盜厄運。熱門網路遊戲魔獸爭霸曾發生一個區服大量賬號短時間內被盜，引起數千玩家集中投訴;此外，2006年10月，BTV7《生活面對面》節目報道網銀賬戶內1萬餘元被分15次盜走，警方在事主
的電腦查獲灰鴿子病毒。

2. 偷窺隱私

灰鴿子可通過遠程控制用戶電腦上的攝像頭偷窺用戶隱私。只要用戶的機器處於開機狀態，遠程操控者就可以自動開啟用戶的攝像頭，窺探用戶隱私。知道自己家裡隱藏了一隻遠在千里之外的眼睛，肯定會令你毛骨悚然。

3. 敲詐

黑客利用灰鴿子病毒完全控制被感染者電腦，電腦中的任何文件都可以任意處置，黑客一旦發現對用戶比較隱私或機密的東西，立刻將其轉移到其他地方，然後對用戶進行勒索，與現實生活中的敲詐一樣，利用網路進行偷竊、敲詐的行為同樣是違法行為。3月7日，BTV1《法制進行時》曾報道江西瑞金一男子使用木馬(木馬查殺軟體下載)程序盜走受害人裸照，並向事主索要14萬元人民幣，最後這名男子以敲詐勒索罪被判有期徒刑6年。

4. 發展「肉雞」

電腦被人植入木馬，這台主機，就被稱為"肉雞"，遠程攻擊者可以對這台"肉雞"電腦為所欲為。攻擊者可控制大量"肉雞"，進行非法獲利，比如在"肉雞"上植入點擊廣告的軟體；利用肉雞配置代理伺服器，以此做為跳板對其它電腦發起入侵。一旦最終受害者追查時，肉雞電腦將會成為替罪羊；此外，還可以用大量肉雞組建殭屍網路，隨時可以被用於一些特殊目的，比如發起DDoS攻擊等。可以想象，如果大量肉雞被敵對勢力控制，將會對我國的網路安全造成什麼樣的後果。

5. 盜取商業機密

通過一些非法途徑讓那些存放商業機密的電腦感染到灰鴿子，接下來，攻擊者竊取有價值的商業文件、機密文件、個人隱私數據等等。攻擊者可以偷偷將商業文件進行販賣，充當商業間諜。如果是國家機密因此受損，後果將不堪設想。

6. 間斷性騷擾

感染灰鴿子病毒后，遠程攻擊者任意玩弄你的電腦，比如任意打開和關閉文檔，遠程重啟電腦，使您無法完成正常任務。

7. 惡搞性破壞

看誰不順眼，就可以肆意搞破壞，攻擊者可利用灰鴿子對被感染的用戶電腦為所欲為，修改註冊表、刪除重要文件、修改共享、開啟代理伺服器、下載病毒等等，試想如果你電腦的註冊表被惡意篡改、系統文件被刪除，而且電腦中還被放了大量病毒，你的電腦將如何？

預防：
灰鴿子病毒泛濫已經數年，變種數萬，因為病毒具備很好的隱形特性，讓人覺得防不勝防。建議網友注意以下幾點：
1. 金山毒霸的用戶建議使用漏洞掃描修復功能安裝系統補丁，在毒霸彈出提醒安裝補丁的對話框時，一定要點安裝。不是毒霸的用戶可以使用Wind
ows Update進行修補。特別注意安裝IE瀏覽器的補丁程序，很多灰鴿子是攻擊者故意把病毒放在帶漏洞攻擊程序的網站上，有漏洞的機器訪問這些網站就會中毒。
2. 及時升級殺毒軟體，注意檢查你使用的殺毒軟體是否過期，使用盜版殺毒軟體（或者一個正版ID用在多台計算機上），是不能正常升級的，特別需要檢查。
3. 對朋友或陌生人發送來的可疑程序不要運行，別被對方的謊言矇騙。
4. 關閉所有磁碟的自動播放功能，避免插入帶毒U盤，移動硬碟，數碼存儲卡中毒。
解決方案：
由於灰鴿子本身的隱蔽性很強，用Windows系統自帶的工具，很難發現灰鴿子入侵。那我們如何去發現電腦中已經被植入的灰鴿子病毒呢？
1. 金山毒霸數據流殺毒方案
毒霸2007查殺灰鴿子的操作方法
第一步：升級金山毒霸到最新版本。
第二步：執行全盤查殺病毒，查殺灰鴿子病毒及全部變種。
第三步：確保毒霸實時監控在運行狀態，一旦灰鴿子入侵，金山毒霸會及時攔截。

圖1：金山毒霸2007剿滅灰鴿子病毒
2. 灰鴿子病毒專殺(專殺工具下載)工具
金山毒霸提供了免費的"灰鴿子"專殺工具，將數據流查殺技術集成到這個專殺工具中，可完全清除各種經過特殊變形處理的灰鴿子病毒。
3. 手工殺毒
需要藉助工具軟體：冰刃。一般用戶無法根據進程列表看出哪個是病毒，你可以啟動冰刃的同時，打開任務管理器，比較一下，看冰刃里多出的一個進程，可能就是灰鴿子病毒。進程名如果是假冒word、記事本的圖標，需要重點關注。

圖2：結束病毒進程
選中上圖G_server2007進程，單擊右鍵，結束進程。結束進程后，我們直接根據上圖冰刃的提示，點冰刃左邊的文件，瀏覽到上圖程序名稱提示的文件夾，找到g_server2007.exe和g_server2007.DLL（灰鴿子中毒后的文件名各不相同，是由攻擊者定製的，應儘可能根據冰刃提示的路徑去查找。有的版本帶有_hook.dll，可以查看下文件日期，應該是同時生成的。）點擊右鍵，徹底刪除掉。

圖3：徹底刪除病毒殘留