今天看到51CTO发布的访谈内容,文字部分校对了一些错误,原文链接
[url]http://netsecurity.51cto.com/art/200703/43322.htm[/url]
赵毅: 各位网友大家好,非常欢迎大家如期来到51CTO在线访谈。51CTO“在线访谈”系列活动已经举办了很多期,并取得了良好的效果。它逐渐成为广大网友了解IT行业与技术的一个窗口。
今天我们有幸邀请到了北京金山软件有限公司毒霸事业部反病毒专家做客51CTO,为大家解答灰鸽子的危害及查杀预防等问题。请您跟大家打一个招呼吧!
李铁军: 各位网友,大家好!
赵毅: 近日灰鸽子在互联网上越闹越凶,很多网友反映灰鸽子盗取他们的用户资料和信息,这让他们很头疼,也很无奈。因此,我们今天就灰鸽子的问题和朋友们进行深入探讨。我们今天主要讨论三个方面的问题:一是灰鸽子的发展历程,了解远程控制软件;二是揭露灰鸽子的真正危害;三是灰鸽子的查杀方法。
灰鸽子的由来
赵毅: 能否介绍一下灰鸽子的由来?
李铁军: 它不是新鲜事物,我们接到的第一个灰鸽子样本是2001年,当时用的最多的***工具是冰河,那是最有名的。
赵毅: 我知道冰河是一种远程控制软件。
李铁军: 冰河刚开始做出来的时候就想让它做远程控制工具,后来发现这个工具被人滥用,出现的后果很严重,后来作者出了一个卸载工具再也不开发了。
赵毅: 也就是说灰鸽子是模仿冰河的?
李铁军: 对。
赵毅: 它用什么编的呢?
李铁军: 用Delphi编的。 它当时是处于技术方面的目的,越做越像冰河。但它是一种反向链接,这一点和冰河有所不同。 冰河是由客户端去连接服务端,灰鸽子和它不一样。
远程控制管理工具特点
赵毅: 能不能给大家介绍一下,远程控制管理工具有什么特点?
李铁军: 其实这种工具我们很容易找得到,我们自己的电脑上一般都带有远程桌面,另外大家都知道用QQ,里面有一个远程协助,MSN也都有。
赵毅: 这些都属于远程控制范畴?
李铁军: 对。它们在用的时候安全性考虑的特别好。比如远程桌面上,首先要知道那台机器的IP地址和域名,那边是人为的自动启动远程终端服务。
赵毅: 也就是说你必须知道对方的一些特定信息,才能通过远程方式连接?
李铁军: 对。另外你还必须拥有远程登录的权限。
赵毅: 灰鸽子跟这个有没有不同的地方?
李铁军: 上面这些特征灰鸽子都没有。灰鸽子是由服务段自动去客户端。
赵毅: 也就是说它不需要知道对方的信息,它是自己去找?
李铁军: 对。然后掌握客户端的人就可以随意的在服务端的机器上做任何操作,中间不需要什么权限之类的。
如何鉴定***病毒与远程控制软件
赵毅: 我们都说灰鸽子是病毒,那么有一些人也宣称灰鸽子只是一种控制软件——可以说灰鸽子有一种远程控制功能,只不过被一些人用于一些非法目的和非法的手段来运用。那么怎么鉴别病毒***和远程控制软件的区别呢?怎么鉴定它是一个病毒,还是远程控制工具呢?
李铁军: 如果从技术角度分辨,任何一种***都可以看成一种远程控制,都具备服务端和客户端,结构大概是这样的。但是最根本上就看它们的功能设计和目的是做什么的。
你要看它的功能,就知道灰鸽子自称的远程控制软件和网管需要控制软件的差别,几乎所有的网管都不会选择这个工具来作为网络管理工具。就是说它的所谓工程设计都是非法目的去设计的,针对的用户群和目标都不一样。
赵毅: 那么,说灰鸽子是一种病毒,这种说法对吗?
李铁军: 要按照法律意义上的病毒定义是不对的,从技术角度它属于***程序。毕竟它和其他的蠕虫、病毒有一些区别,本身这个程序不能自动的进行复制和传播。
灰鸽子不同的版本
赵毅: 我们很多人接触灰鸽子,有哪些不同的版本?
李铁军: 每年都有不同的版本更新。前期是功能方面的,稳定它的产品。在2005年的时候发现它有一个大的改进,它对图形处理引擎方面方面有一个突破。可以这样理解,比如你用冰河客户端和服务端的时候,你发现客户端连接到服务端,连接时间长了,服务端就感觉有异常,感觉这个时候机器就会变慢。假如进行复制文件的操作,你就会发现服务端的机器性能下降很明显,但是对于这款软件(灰鸽子)来讲几乎是感觉不到的。
赵毅: 这是什么版本?
李铁军: 就是从2005年以后的灰鸽子版本。
赵毅: 现在最新的灰鸽子版本是什么?能不能给大家介绍一下最新版本的构架和一些运行的原理?
李铁军: 现在是2007版本。原理来讲还是服务端和客户端,它会把***程序称为服务端,通过一定的方式比如网络下载,种到肉鸡的机器上,客户端就掌握在控制人的手中,服务端自动连接控制端的机器之后,所有它造成的危害并不是服务端形成的,潜在威胁都是来自远程的***。远程的人想在这台机器做什么操作,这台机器就可能造成什么样的损失。
灰鸽子如何盗取QQ号码和银行帐号
赵毅: 大家都知道灰鸽子能够盗取QQ号码,能简单介绍一下原理吗?
李铁军: 如果中了灰鸽子之后,服务端可以像控制自己的机器一样控制客户端。比如它想偷你的QQ号,看看你的QQ下面的号码是什么,它会有一个键盘记录的窗口查看,它看你会不会登陆QQ。因为你的QQ号一般都显示在上面,他就知道下面就是口令了,你敲什么键他都会知道。
赵毅: 银行帐号呢?
李铁军: 银行帐号相对难一些,因为它使用了加密的网页。然后他直接盗取银行帐号有一些困难,因为他已经控制了你的机器,他可能上传专门针对网银的***,你的机器上没有任何东西可以隐藏给他。
赵毅: 我看到网友说有人在网上贩卖灰鸽子软件。您知道详细的情况吗?
李铁军: 这个软件一直宣称自己是远程控制软件,目前法律法规没有一个清晰界定。它干脆就在它的网站公开贩卖。然后它可以通过多种渠道销售它的软件:通过中国共享软件注册,通过盛大点卡购买,可以在线直接购买。除此之外它也有自己的分销渠道,有很多聊天室、QQ群,还有一些论坛。
赵毅: 你觉得灰鸽子作为一个个人的软件,它已经运作到这种地步,你觉得它对我们的互联网最大的危害是什么?
李铁军: 首先一个***商业化了,并且虽然它本身程序不能自动的进行传播,但仍然发现我们的用户感染率非常的高。就证明他们下面的分销网络和散播***的网络非常健全。***自己不会传,必须让人来传。仅仅是人来传播,它已经有足够的感染量,肉鸡数量非常多。这种情况我们来看就是一种很危险的情况。
然后可以轻易在互联网上找到各种各样的肉鸡,还有很多人教他,他接着带徒弟,教你这个软件怎么用。这种免费的教程网上随便都可以找得到,还也人想尝试一下,都可以直接在QQ群或者论坛、社区,有人说手把手教你用,保证实现这个功能,但是需要交学费,这样的情况挺多的。
赵毅: 我们可以看到灰鸽子对互联网的危害还是非常大的,如果不加以控制,肯定会一发不可收拾。
李铁军: 有可能是这种情况。因为有很多人想用灰鸽子控制别人电脑,有些人心理上总想控制别人,而不想被别人控制。所以尝试想做。
如何判断是否中了“灰鸽子”?
赵毅: 一旦与利益发生关系,性质就发生了变化。今天我们的主要目的就是如何查杀,前面的东西都是给大家做一个简单的介绍,让大家了解灰鸽子的真正危害,让我们提高警惕,互联网的世界并不安全,我们在使用电脑的时候,一定要安装杀毒软件。我们接下来就谈谈灰鸽子的具体查杀方法以及各种查杀工具的使用和应用。我们都知道中了灰鸽子,一般用户是发现不了的,有没有特殊的文件?就是说中招之后会出现什么样的进程,有什么样的目录是不一样?
李铁军: 的确,这个有一些难度。对于普通用户来说,机器中了灰鸽子几乎没有任何感觉。
赵毅: 任何痕迹都没有吗?
李铁军: 会留下痕迹,但是很难被发现。能够发现灰鸽子的电脑用户,我觉得是非常少的。因为这种***隐藏性太强了。
赵毅: 一般是什么进程?有没有具体的进程名?
李铁军: 它的进程是隐藏的。任务管理器是看不到的,而且进程名里面有远程的***者随意的定制,他想把它变成什么名字,就变成什么名字。
赵毅: 有没有具体的症状,感觉自己中了灰鸽子了?有没有显著的症状?
李铁军: 如果不借助于其他第三方的工具,在没有访问网络的时候,网卡的灯是常亮的,或者说偶尔发现这个鼠标不听你使唤,好象被别人在动了。这种就是相对于比较明显的,那边人很粗心了,已经暴露了,但是大多数人是不会让你发现的。这是被人控制的一种表现。
什么样的机器最容易中毒?
赵毅: 能不能说一下什么样的机器最容易中毒了?
李铁军: 任何一台计算机,只要经常访问互联网,而且用户非常喜欢访问不是特别安全的站点,有这种习惯的用户,他们很有可能中毒。
比如一些带有×××,这种访问的人很多。包括免费电影、聊天室、视频聊天室,有一些提供盗版软件、破解软解的站点,还有提供***下载工具的站点。
中“灰鸽子”后如何查杀?
赵毅: 中了灰鸽子之后怎么查杀?
李铁军: 这个是很重要的,我建议所有的网民应该普查一下。因为你不知道它,你也很难找到它。所以我们建议网友应该对电脑像做一次体检一样的,做一次全面的检查。
我们目前提供了一个专杀工具,它实际上是基于一种特殊的功能来提供。和以前我们做的一些病毒库的方法是不一样的。因为我们在做这件事情的时候,我们研究了大量的灰鸽子的病毒的样本,确实找到了一些有效的方法。
大家可以到金山网站下载专杀工具。用这个小工具扫一下,如果有的话,基本上没有漏网的。我们现在开始对灰鸽子开始宣战,有的组织专门对金山毒霸做修改,看看金山毒霸能不能把它杀掉,现在发现不少这样的。就是把灰鸽子加上技术处理,打上好几个“壳”。灰鸽子原来很小,后来发现它变得特别大,然后让金山毒霸扫描,你是扫不出来的。你一执行,我们假设用户没有金山毒霸的情况下,那么是扫不到的。他执行以后,真正的灰鸽子会进入内存。这个是针对不是毒霸的单机用户来进行的。但是如果是金山毒霸的用户,这个就比较简单了。本身这个程序有解壳的功能,并且拦截能力很强。假设灰鸽子过来,已经是打了好多壳,执行的过程中我们在执行的时候就会把病毒拦截住。目前还没有发现真正能够跳过金山毒霸的病毒。
赵毅: 相当于一攻一守一防的形式,他不断加壳,我们就不断的解壳?
李铁军: 我们现在就不做它的解壳,因为给灰鸽子加的壳太多了,只想着解壳会累死。我们现在的作法是,让它的程序自己解壳,它解壳之后的原始***就被我们杀掉了。
在你中毒之后,完全可以清除干净。专杀是被动的,如果有监控的,有病毒刚进入就会拦截住。
赵毅: 这里面可能会产生一个冲突,杀毒软件都有即时监控。但是它怎么中的灰鸽子?监控作用没有起作用吗?
李铁军: 这种情况非常多。包括以前金山毒霸的版本没有获得这项技术之前都存在这个问题。他做一个样本出来是免杀的,任何人都查不到,然后病毒也进来了。这个病毒还有一个特性,它可以进行远程的更新。控制台这些人知道这些天有软件要杀它,他就会把所有的肉鸡进行一遍更新,所以很多时候杀毒软件也会查不到。
有可能出现杀毒软件更新了,他也会更新。而且他可能更新的可能比你还快。
专家推荐的第三方工具
赵毅: 这种情况怎么办?重装系统吗?
李铁军: 不用重装系统,杀毒软件的报告是很好的诊断手段。除此之外,可能还需要借助一些第三方的工具。我们经常用的一个软件叫冰刃(IceSword)。
赵毅: 能不能介绍一下?怎么使用?
李铁军: 它的最大好处可以查看隐藏进程。它的服务隐藏,进程隐藏了,你就发现打开之后什么都没有发现。你用这个工具就会发现多了一些工具,可能有些隐藏的工具标着红字,如果这位网友经验不是很丰富,它可以拿着这个工具和系统自带的任务管理器进行比较,就会发现多了一些进程,多出来的,就可能是***。接下来可以结束文件,再找到它,把它删除。
赵毅: 好像在19号那一天,灰鸽子发布了一个自己的卸载工具。您作为专家来说,您认为它的卸载工具对用户来说有用吗?
李铁军: 我分析过这种工具,它对于一种情况是有效的。就是灰鸽子在种植的时候,***的服务端以服务的形式加入的。灰鸽子的工具类型有好几种,一种是一开机就启动,这种情况下他们官方出的卸载工具是有效的。还有一种情况,我们发现大多数***用第二种方式***。挂在正常的进程里面,是进程注入的方式。比如你的机器想运行灰鸽子,它挂在QQ的进程里面了,你一开QQ的时候就启动了***。你把QQ一关闭,***又退出了。
赵毅: 那就是说也可以通过MSN、IE浏览器等等……
李铁军: 还有迅雷下载等等,它是任意的,想插入哪个进程都可以。针对这种模式,它的卸载工具是完全无效的。我做过一个实验,用一个客户端去控制另外一台肉鸡,我在那台肉鸡上放了它的卸载工具,然后我就执行。它的报告是没有发现灰鸽子。然后我把那个工具退出之后,我还继续可以控制那台肉鸡。
刚才说的这个第二种注入正常的应用程序,灰鸽子工作室提供的官方卸载程序是没有办法的。
赵毅: 那我们的金山专杀工具都可以吗?
李铁军: 对,都可以查杀。
赵毅: 能不能介绍一下,很多用户想知道手动查杀怎么做?
李铁军: 手动查杀需要借助一些工具,刚才说的冰刃(IceSword),检查进程。进程里面有文件、路径都有,然后用别人结束***的进程,根据这个找到文件。在进程当中发现一个文件,比如随便取个名字,你就把这个结束掉,再搜索同名文件后面加一个DLL,你搜索出来,两个文件是一样的,然后把这两个文件都删掉,这样手工就可以解决掉了。还有一种是可以设置注册表当中的一些值,然后查出来进行删除。
赵毅: 有网友问,灰鸽子能不能使用360安全卫士去删除?
李铁军: 不可以。360的原理应该是分析这个文件的加载项,每一种恶意软件加载什么地方,修改什么值,这个大致是固定的。但灰鸽子是可变的。
赵毅: 恶意软件还有***病毒之间有什么联系吗?
李铁军: 恶意软件和***还有病毒,我们发现他们是难兄难弟。它们用的技术差不多,只是最终的目的和作法不完全一样。
赵毅: 刚才谈了很多查和杀的问题,您给我们用户谈谈如何防御的问题。好多网友问怎么防御自己的QQ号码不被盗?
李铁军: 首先把你的QQ号申请密保,跟自己的邮箱、手机号码绑定,这样丢掉还能拿回来。另外还要及时修理漏洞,很多方式都是通过IE浏览器的漏洞植入的。如果你的机器不打补丁,中***的机率比别人高很多。
赵毅: 我们现在谈到如何防御的问题。其实一般用户来讲,他们知道自己常用的那几个文件夹都有什么文件,那么如果一旦中了灰鸽子之后,这个灰鸽子的病毒***进程会放在哪个文件夹下,通常是放在哪里?
李铁军: 一般都在Windows目录里,但是这个路径是可以改的。他愿意放在哪儿,就放在哪儿,不固定的。
李铁军: 这样子让你手动查杀很多文件找不到,它的文件名字可以随意的定,让你找不到。
赵毅: 自己不会新建一个文件夹?
李铁军: 现在还没有。
用户应该如何防范?
赵毅: 作为企业用户可能更关心这个事。他们的一些机密的信息更为重要,一旦被一些恶意的灰鸽子软件使用者把企业的服务器当做肉鸡,可能更可怕。
李铁军: 的确是这样。有很多企业的服务器已经变成肉鸡了,有很多网管还不知道,那些肉鸡都利用企业的服务器做跳板做一些***性行为,他们应该再加强这个方面的安全检查。
如果这台服务器被别人当做代理服务器做跳板的话,它的网络资源会白白浪费很多。可能还有网管最重要,纯粹的技术手段很难防御。这要看网管个人的能力和公司里面的严格的管理制度。
李铁军: 应该做好自己服务器的一些漏洞的更新、修补。
赵毅: 他们就是处于一种想防,不想中这个东西,也不想用它远程控制。但是他们不知道该怎么办,关键的问题就在这儿。您作为专家最好给一些实质性的建议。
李铁军: 应该从一些制度上的管理,比如我有一个朋友说在企业怎样用灰鸽子控制。一般他想得到一些商业机密,比如招投标的时候就想把竞争对手的一些资料拿到,然后可以通过某种渠道看看这台机器有什么文件,或者插上一个U盘,让这个***潜入这台机器。然后就可以进入企业的内部网,接下来干别的事情。这里面企业可能要防止移动设备的滥用,经常出差的一些员工的电脑如果存有大量机密文件,这种被盗的可能相当难以防范。但是把这些机密文件进行一些加密,非常关键的文件阅读权限和访问权限就应该设定好,这样会好一些。
赵毅: 这样是对整个公司的安全教育。您刚才提到移动设备的安全问题,灰鸽子会通过移动设备来传播吗?
李铁军: 它不会自动的去做。移动设备的传播是有一些人故意这么干。比如他想让这台机器中灰鸽子,它插上移动U盘就可以了。他在磁盘上的自动执行文件放一个灰鸽子的***,然后插入起动,这样就会中毒。对于一些安全投资比较多的企业,可能内部用一些***监测系统,这样就可以探测到内部网是不是有这样的***行为。我想大部分的企业没有这种东西。
赵毅: 有网友提问,灰鸽子一直都发展很多年了,但是最近这段时间才很热。这种炒作其实也是很老的问题,是不是由像金山这些运营公司为了自身的市场炒作,而把它的坏处渲染得很大?
李铁军: 有很多朋友有这方面的疑问,有人认为我们在炒作。其实不是这样的,我们内部有一些非常严谨的统计系统,所有的用户中了病毒以后,它的结果会统计收集到后台的数据库当中。从2004年—2006年,我们分析了一下,国内这三家杀毒公司分析报告里面,前十大病毒当中都有灰鸽子***,连续三年都是这样。然后我们发现,分析有关感染中灰鸽子的IP,它是每年都在上升,并且2006年表现最为明显,上升的很厉害,变种数也是去年出的最多的。然后我们想想,这个***单纯从技术方面考虑,保护老百姓的话总觉得这些企业还是很被动,不能很好的解决问题。
然后我们考虑到这个里面是不是有一些社会背景,我们就通过一些网站和论坛,了解到这里面其中隐藏很多东西,发现它确实是商业化的***,有完整的产业链在里面。在这个时候,我们所做斗争的对象不是单个的小病毒,而是很多人在里面做。我想这次受影响的大概是数万人的队伍,这些人现在非常仇恨金山。然后我们在宣布打击灰鸽子***的时候,当天晚上就开始对我们进行***。我们已经预料到这种情况了,所以我们觉得它除了本身病毒疫情严重外,它还有更深层的东西需要关注。我们出于这一点,就把它的内部消息深入的进行探讨,挖掘出来。
赵毅: 有网友问:金山的反病毒软件是自己开发的么?是不是俄罗斯引进的?
李铁军: 百分之百是我们自己的代码,没有引入任何其他公司的引擎。我们是从三年以前就开始使用自己独立的引擎了。
专家建议
赵毅: 我们今天的重点刚才说了一下,如何查杀和如何预防。您作为专家能不能给用户说一说,如何预防像灰鸽子这样的***,给一些比较好的建议?
李铁军: 这是我们觉得有必要跟用户说的。因为用户中了***之后没有任何症状,完全不知道,所以用户应该提高自己的警惕性。我们金山发布一些病毒播报的资料,这样的信息用户看多了之后没有感觉了。但是这种风险我们还是觉得有必要给大家讲清楚,用户应该定期检查机器是否存在这种风险。我们的产品提供相应的功能,比如非常重要的漏洞扫描和修复,这一点太重要了。但是发现我们产品在这一块做的相当不错了,还是有人不愿意更新。他扫描漏洞就是不愿意安装,这样的用户的机器很难保证是安全的环境。
赵毅: 最新瑞星、江民等公司是否有专杀工具吗?
李铁军: 目前没有更新。它们有专杀,但是专杀的效果确实比我们差。
赵毅: 是不是这两家、包括卡巴等公司,它们对这件事情的关注程度不是最够的强,是因为它们投入的点不够,还是技术有限?
李铁军: 他们关注的点可能不在这里。
赵毅: 您感觉,金山对这件事情的重视和其他厂商的不同,原因是什么?
李铁军: 我无法知道其他厂商的情况。但是我可以描述一下我们的,除了做杀毒软件以外,我们还是网络游戏的运营商,我们有太多的用户有这种切肤之痛,这种感觉和其他厂商不一样。我们客服每天都接到大量的投诉,我的号又被盗了。这种感觉其他厂商无法体会到,但是我们知道,所以我们继续关注灰鸽子***背后的东西。我们发现更可怕的一些东西,他们这种***产业的规模达到相当可怕的地步,所以我们觉得有必要在这一块加强重点,进行攻关。所以我们在两三个星期就提出了一个专杀方案,这个效果是不错的。这个可能是我们和其他公司看法不一样的地方。
赵毅: 你感觉是否需要或者很有必要和其他厂家联合来做,还是靠金山一家就足够了?
李铁军: 如果联合更多的安全厂商来做,那打击灰鸽子***的速度就会大大加快。如果只是我们一家来做,我们只是覆盖到我们的用户,我们的用户会因此受益。其他的厂家不加入的话,整个打***战役的时间会延长,但是它们肯定会跟进的。我们已经发了倡议书,希望所有做安全的企业联合起来对付这种恶意的***。
赵毅: 但是您也谈到,灰鸽子已经不再是一个单纯的软件,或者病毒。它已经形成了一个产业,既然已经到了产业层面,是否能够简单的运用技术上的手段来达到遏制的效果呢?
李铁军: 根本上用技术来解决是很困难。
赵毅: 那么根本的解决办法是什么?
李铁军: 灰鸽子已经不再单纯是一个技术的问题,它已经转变为一种社会问题了。社会相关的各个方面都应该思考的问题。就是为什么这种非法的软件能在互联网上泛滥。我们对这种非法的软件采取什么样的措施进行管制,这个可能是一些社会学家,或者法律学专家应该探讨的事情。作为安全厂商,我们只能提供技术上的方案,其他的事情我们没有能力做到这些。
赵毅: 我看到灰鸽子的一些组织,对金山也在采取一些报复行动。对于这些报复行动,金山还有什么样的后续行动吗?
李铁军: 我们已经把相应的证据收集起来,并提交给国家相关部门,现在已经立案在做了。我们觉得这些线索是对打击这些网络犯罪是有帮助的。我们随时会被他们列为***的目标,我们不敢说它只***这一次。4月1日发通知要***我们网站,我不知道是愚人节的玩笑,还是他们真的要干。这个还不知道。
赵毅: 我们的网友现在问题很多,我们也和网友多沟通一下。
赵毅: 网友问:难道做了漏洞的更新、修补,就可以高枕无忧了吗?
李铁军: 肯定不够的。漏洞修复至少安全系数比别的系统要高很多,但是如果说这个人就是想去点击看到什么新鲜的东西试一下,看到一个朋友发过来的某个程序,不知道什么效果就想运行,那么也没有办法。恶意程序到你的桌面就要执行,所以这边要及时更新反病毒软件,对外来程序进行检测。然后你觉得这个东西没有用,而且不知道它是干什么,就不要双击它进行安装。
赵毅: 网上很多人后进来了,一则他们对灰鸽子和传统的病毒区别还不是很了解,还是说这种病毒感染是什么样。因此请专家再简单把这两种介绍一下。二是大家关心查杀灰鸽子分几步走?
李铁军: 其实灰鸽子和普通的病毒是有明显区别的。传统的病毒都可以进行自动的复制,向外进行传播。灰鸽子不会这么做,只会一对一的,你下载这个病毒,就会中。或者给你发一个,你执行了就会中毒。这是一个非常明显的区别。
杀灰鸽子其实有这么几步,假如你突然发现你的机器上别人在远程控制你的桌面,你第一感觉是有人控制我的电脑。第一步就是把网络断开,然后考虑手边有没有相应的使用工具。比如专杀可以扫描一下。如果没有,你就要从别的机器上下载。我认为最简单的处理方法,第一步扫描,专杀工具看看能不能检测到有没有灰鸽子,如果有就会直接杀掉。那么你就可以放心的上网,做一些别的修复工作,比如下载冰刃。修改系统中所有***修改过的地方。对于企业来讲,因为它不是一个病毒,不是蠕虫性的。所以你不用担心这个***在网络当中是不是机器都有,蠕虫和***的区别就是不能主动复制。如果你发现***,专杀病毒有效你可以让它查一遍,很快就可以扫描出来。不像处理病毒那么费劲。
赵毅: 就是说它的传播形式更像是一个病毒软件?
李铁军: 没错。
赵毅: 在对付灰鸽子这种软件也罢,产业也罢,您觉得普通用户他们要注意什么呢?除了中毒以后查杀以外,那么在预防上有什么呢?
李铁军: 其实用户的作用很大。如果你发现你的系统被远程控制,你仅仅是这样算,首先应该考虑保护自己的利益。比如你的一些隐私数据被人通过这种渠道上传网站,你应该拿起法律的武器打击他们。这样让这种在网上随意控制别人电脑的行为被减少,如果你不愿意做这种事情实际上就是纵容这些人做这种事情。比如有的人QQ号丢了,还有像银行帐号丢失的会报案,然后去查。还有家里的情况,比如你的隐私数据被拍了,放在网上,你就可以让这个网站协助你查这个事情,要知道是谁把这个资料放上去的,要有相关的法律保护,维护自己的权利。用户还有一个非常重要的,就是做自己的安全防护,不要太容易的被当作肉鸡了。当了肉鸡之后,可能成为远程控制的手中一颗棋子,它可以利用你的机器做更多的坏事。
赵毅: 网友问:金山的杀毒软件是否已经超越现有的技术呢?
李铁军: 我们不能说是超越现有的所有技术,只是说自己目前的技术对付已知的灰鸽子做的各种各样的加壳,或者变种的处理非常有效,但是我们不能说我们是最好的。肯定还有其他的一些公司提出自己的方案,但是目前我们的技术,能让我们的客户满意。
赵毅: 这位网友说:安全的事情不是装一个软件套装就可以解决的。
李铁军:我觉得这个网友说的非常正确。
赵毅: 网友问:mag_hook.dll是否与灰鸽子有关系?
李铁军: 这是2005版的灰鸽子,2006版也有这样的文件。让他去查*_hook.dll,途径一般在Windows目录下。然后知道*前面涉及到什么样的字串,它们都在一个目录下。
赵毅: 因为咱们谈到了很多远程控制的问题,有的用户需要远程控制。那么他在选择的时候,这时候需要注意哪些工具是正常的?
李铁军: 有很多安全的远程控制工具。操作系统本身提供的远程桌面是很安全的。PcAnyWhere可能是商业软件,比较贵。但是操作系统自己带的远程桌面是不需要花钱的,只要启动服务就行了。
李铁军: 这个服务像远程桌面3389的端口,很多***会扫描你是否开了,然后会尝试猜你的密码进来。他登陆的时候最关键的就是你的管理密码,如果扫描3389就知道你使用的是远程桌面,接下来尝试连接进去,这个密码很关键。
赵毅: 网友问:金山的网站几次被攻破过?
李铁军: 灰鸽子那天***我们的时候,不是我们的网站被攻破了。我们的网站结构由我们自己提供的前端服务器,然后由运营商把我们的数据镜像到CDN服务器。用户其实访问的是镜像服务器,其中有一部分控制了CDN机房里面的机器对我们进行***。在用户正常访问我们的时候,是另外的一个。当天我们的处理技术是把用户访问CDN服务器变成直接访问我们。我们的服务器是可控的。那个机房里面托管很多的服务器,其中有一台机器防护比较弱的主机被***了,然后***通过这台机器,影响到这个机房中的很多其它服务器,包括其它公司托管的服务器。
赵毅: 一般来说:灰鸽子通过哪些端口?
李铁军: 它一般使用的是8000。这个端口还可以自己定义,一般来讲***会选择一个最常用的端口,不容易被网管禁掉的。
赵毅: 今天我们谈了一下灰鸽子的发展历程,以及灰鸽子的危害,还有一些灰鸽子的查杀方法,以及专家告诉我们一些关于灰鸽子的预防诊断手段和方法,对广大网友肯定会提供一个借鉴的机会。大家可以看看自己的电脑是否已经成为肉鸡。
赵毅: 感谢专家来到我们51CTO的在线聊天室,感谢大家,下期再见。
李铁军: 谢谢网友!
赵毅: 各位网友大家好,非常欢迎大家如期来到51CTO在线访谈。51CTO“在线访谈”系列活动已经举办了很多期,并取得了良好的效果。它逐渐成为广大网友了解IT行业与技术的一个窗口。
今天我们有幸邀请到了北京金山软件有限公司毒霸事业部反病毒专家做客51CTO,为大家解答灰鸽子的危害及查杀预防等问题。请您跟大家打一个招呼吧!
李铁军: 各位网友,大家好!
赵毅: 近日灰鸽子在互联网上越闹越凶,很多网友反映灰鸽子盗取他们的用户资料和信息,这让他们很头疼,也很无奈。因此,我们今天就灰鸽子的问题和朋友们进行深入探讨。我们今天主要讨论三个方面的问题:一是灰鸽子的发展历程,了解远程控制软件;二是揭露灰鸽子的真正危害;三是灰鸽子的查杀方法。
灰鸽子的由来
赵毅: 能否介绍一下灰鸽子的由来?
李铁军: 它不是新鲜事物,我们接到的第一个灰鸽子样本是2001年,当时用的最多的***工具是冰河,那是最有名的。
赵毅: 我知道冰河是一种远程控制软件。
李铁军: 冰河刚开始做出来的时候就想让它做远程控制工具,后来发现这个工具被人滥用,出现的后果很严重,后来作者出了一个卸载工具再也不开发了。
赵毅: 也就是说灰鸽子是模仿冰河的?
李铁军: 对。
赵毅: 它用什么编的呢?
李铁军: 用Delphi编的。 它当时是处于技术方面的目的,越做越像冰河。但它是一种反向链接,这一点和冰河有所不同。 冰河是由客户端去连接服务端,灰鸽子和它不一样。
远程控制管理工具特点
赵毅: 能不能给大家介绍一下,远程控制管理工具有什么特点?
李铁军: 其实这种工具我们很容易找得到,我们自己的电脑上一般都带有远程桌面,另外大家都知道用QQ,里面有一个远程协助,MSN也都有。
赵毅: 这些都属于远程控制范畴?
李铁军: 对。它们在用的时候安全性考虑的特别好。比如远程桌面上,首先要知道那台机器的IP地址和域名,那边是人为的自动启动远程终端服务。
赵毅: 也就是说你必须知道对方的一些特定信息,才能通过远程方式连接?
李铁军: 对。另外你还必须拥有远程登录的权限。
赵毅: 灰鸽子跟这个有没有不同的地方?
李铁军: 上面这些特征灰鸽子都没有。灰鸽子是由服务段自动去客户端。
赵毅: 也就是说它不需要知道对方的信息,它是自己去找?
李铁军: 对。然后掌握客户端的人就可以随意的在服务端的机器上做任何操作,中间不需要什么权限之类的。
如何鉴定***病毒与远程控制软件
赵毅: 我们都说灰鸽子是病毒,那么有一些人也宣称灰鸽子只是一种控制软件——可以说灰鸽子有一种远程控制功能,只不过被一些人用于一些非法目的和非法的手段来运用。那么怎么鉴别病毒***和远程控制软件的区别呢?怎么鉴定它是一个病毒,还是远程控制工具呢?
李铁军: 如果从技术角度分辨,任何一种***都可以看成一种远程控制,都具备服务端和客户端,结构大概是这样的。但是最根本上就看它们的功能设计和目的是做什么的。
你要看它的功能,就知道灰鸽子自称的远程控制软件和网管需要控制软件的差别,几乎所有的网管都不会选择这个工具来作为网络管理工具。就是说它的所谓工程设计都是非法目的去设计的,针对的用户群和目标都不一样。
赵毅: 那么,说灰鸽子是一种病毒,这种说法对吗?
李铁军: 要按照法律意义上的病毒定义是不对的,从技术角度它属于***程序。毕竟它和其他的蠕虫、病毒有一些区别,本身这个程序不能自动的进行复制和传播。
灰鸽子不同的版本
赵毅: 我们很多人接触灰鸽子,有哪些不同的版本?
李铁军: 每年都有不同的版本更新。前期是功能方面的,稳定它的产品。在2005年的时候发现它有一个大的改进,它对图形处理引擎方面方面有一个突破。可以这样理解,比如你用冰河客户端和服务端的时候,你发现客户端连接到服务端,连接时间长了,服务端就感觉有异常,感觉这个时候机器就会变慢。假如进行复制文件的操作,你就会发现服务端的机器性能下降很明显,但是对于这款软件(灰鸽子)来讲几乎是感觉不到的。
赵毅: 这是什么版本?
李铁军: 就是从2005年以后的灰鸽子版本。
赵毅: 现在最新的灰鸽子版本是什么?能不能给大家介绍一下最新版本的构架和一些运行的原理?
李铁军: 现在是2007版本。原理来讲还是服务端和客户端,它会把***程序称为服务端,通过一定的方式比如网络下载,种到肉鸡的机器上,客户端就掌握在控制人的手中,服务端自动连接控制端的机器之后,所有它造成的危害并不是服务端形成的,潜在威胁都是来自远程的***。远程的人想在这台机器做什么操作,这台机器就可能造成什么样的损失。
灰鸽子如何盗取QQ号码和银行帐号
赵毅: 大家都知道灰鸽子能够盗取QQ号码,能简单介绍一下原理吗?
李铁军: 如果中了灰鸽子之后,服务端可以像控制自己的机器一样控制客户端。比如它想偷你的QQ号,看看你的QQ下面的号码是什么,它会有一个键盘记录的窗口查看,它看你会不会登陆QQ。因为你的QQ号一般都显示在上面,他就知道下面就是口令了,你敲什么键他都会知道。
赵毅: 银行帐号呢?
李铁军: 银行帐号相对难一些,因为它使用了加密的网页。然后他直接盗取银行帐号有一些困难,因为他已经控制了你的机器,他可能上传专门针对网银的***,你的机器上没有任何东西可以隐藏给他。
赵毅: 我看到网友说有人在网上贩卖灰鸽子软件。您知道详细的情况吗?
李铁军: 这个软件一直宣称自己是远程控制软件,目前法律法规没有一个清晰界定。它干脆就在它的网站公开贩卖。然后它可以通过多种渠道销售它的软件:通过中国共享软件注册,通过盛大点卡购买,可以在线直接购买。除此之外它也有自己的分销渠道,有很多聊天室、QQ群,还有一些论坛。
赵毅: 你觉得灰鸽子作为一个个人的软件,它已经运作到这种地步,你觉得它对我们的互联网最大的危害是什么?
李铁军: 首先一个***商业化了,并且虽然它本身程序不能自动的进行传播,但仍然发现我们的用户感染率非常的高。就证明他们下面的分销网络和散播***的网络非常健全。***自己不会传,必须让人来传。仅仅是人来传播,它已经有足够的感染量,肉鸡数量非常多。这种情况我们来看就是一种很危险的情况。
然后可以轻易在互联网上找到各种各样的肉鸡,还有很多人教他,他接着带徒弟,教你这个软件怎么用。这种免费的教程网上随便都可以找得到,还也人想尝试一下,都可以直接在QQ群或者论坛、社区,有人说手把手教你用,保证实现这个功能,但是需要交学费,这样的情况挺多的。
赵毅: 我们可以看到灰鸽子对互联网的危害还是非常大的,如果不加以控制,肯定会一发不可收拾。
李铁军: 有可能是这种情况。因为有很多人想用灰鸽子控制别人电脑,有些人心理上总想控制别人,而不想被别人控制。所以尝试想做。
如何判断是否中了“灰鸽子”?
赵毅: 一旦与利益发生关系,性质就发生了变化。今天我们的主要目的就是如何查杀,前面的东西都是给大家做一个简单的介绍,让大家了解灰鸽子的真正危害,让我们提高警惕,互联网的世界并不安全,我们在使用电脑的时候,一定要安装杀毒软件。我们接下来就谈谈灰鸽子的具体查杀方法以及各种查杀工具的使用和应用。我们都知道中了灰鸽子,一般用户是发现不了的,有没有特殊的文件?就是说中招之后会出现什么样的进程,有什么样的目录是不一样?
李铁军: 的确,这个有一些难度。对于普通用户来说,机器中了灰鸽子几乎没有任何感觉。
赵毅: 任何痕迹都没有吗?
李铁军: 会留下痕迹,但是很难被发现。能够发现灰鸽子的电脑用户,我觉得是非常少的。因为这种***隐藏性太强了。
赵毅: 一般是什么进程?有没有具体的进程名?
李铁军: 它的进程是隐藏的。任务管理器是看不到的,而且进程名里面有远程的***者随意的定制,他想把它变成什么名字,就变成什么名字。
赵毅: 有没有具体的症状,感觉自己中了灰鸽子了?有没有显著的症状?
李铁军: 如果不借助于其他第三方的工具,在没有访问网络的时候,网卡的灯是常亮的,或者说偶尔发现这个鼠标不听你使唤,好象被别人在动了。这种就是相对于比较明显的,那边人很粗心了,已经暴露了,但是大多数人是不会让你发现的。这是被人控制的一种表现。
什么样的机器最容易中毒?
赵毅: 能不能说一下什么样的机器最容易中毒了?
李铁军: 任何一台计算机,只要经常访问互联网,而且用户非常喜欢访问不是特别安全的站点,有这种习惯的用户,他们很有可能中毒。
比如一些带有×××,这种访问的人很多。包括免费电影、聊天室、视频聊天室,有一些提供盗版软件、破解软解的站点,还有提供***下载工具的站点。
中“灰鸽子”后如何查杀?
赵毅: 中了灰鸽子之后怎么查杀?
李铁军: 这个是很重要的,我建议所有的网民应该普查一下。因为你不知道它,你也很难找到它。所以我们建议网友应该对电脑像做一次体检一样的,做一次全面的检查。
我们目前提供了一个专杀工具,它实际上是基于一种特殊的功能来提供。和以前我们做的一些病毒库的方法是不一样的。因为我们在做这件事情的时候,我们研究了大量的灰鸽子的病毒的样本,确实找到了一些有效的方法。
大家可以到金山网站下载专杀工具。用这个小工具扫一下,如果有的话,基本上没有漏网的。我们现在开始对灰鸽子开始宣战,有的组织专门对金山毒霸做修改,看看金山毒霸能不能把它杀掉,现在发现不少这样的。就是把灰鸽子加上技术处理,打上好几个“壳”。灰鸽子原来很小,后来发现它变得特别大,然后让金山毒霸扫描,你是扫不出来的。你一执行,我们假设用户没有金山毒霸的情况下,那么是扫不到的。他执行以后,真正的灰鸽子会进入内存。这个是针对不是毒霸的单机用户来进行的。但是如果是金山毒霸的用户,这个就比较简单了。本身这个程序有解壳的功能,并且拦截能力很强。假设灰鸽子过来,已经是打了好多壳,执行的过程中我们在执行的时候就会把病毒拦截住。目前还没有发现真正能够跳过金山毒霸的病毒。
赵毅: 相当于一攻一守一防的形式,他不断加壳,我们就不断的解壳?
李铁军: 我们现在就不做它的解壳,因为给灰鸽子加的壳太多了,只想着解壳会累死。我们现在的作法是,让它的程序自己解壳,它解壳之后的原始***就被我们杀掉了。
在你中毒之后,完全可以清除干净。专杀是被动的,如果有监控的,有病毒刚进入就会拦截住。
赵毅: 这里面可能会产生一个冲突,杀毒软件都有即时监控。但是它怎么中的灰鸽子?监控作用没有起作用吗?
李铁军: 这种情况非常多。包括以前金山毒霸的版本没有获得这项技术之前都存在这个问题。他做一个样本出来是免杀的,任何人都查不到,然后病毒也进来了。这个病毒还有一个特性,它可以进行远程的更新。控制台这些人知道这些天有软件要杀它,他就会把所有的肉鸡进行一遍更新,所以很多时候杀毒软件也会查不到。
有可能出现杀毒软件更新了,他也会更新。而且他可能更新的可能比你还快。
专家推荐的第三方工具
赵毅: 这种情况怎么办?重装系统吗?
李铁军: 不用重装系统,杀毒软件的报告是很好的诊断手段。除此之外,可能还需要借助一些第三方的工具。我们经常用的一个软件叫冰刃(IceSword)。
赵毅: 能不能介绍一下?怎么使用?
李铁军: 它的最大好处可以查看隐藏进程。它的服务隐藏,进程隐藏了,你就发现打开之后什么都没有发现。你用这个工具就会发现多了一些工具,可能有些隐藏的工具标着红字,如果这位网友经验不是很丰富,它可以拿着这个工具和系统自带的任务管理器进行比较,就会发现多了一些进程,多出来的,就可能是***。接下来可以结束文件,再找到它,把它删除。
赵毅: 好像在19号那一天,灰鸽子发布了一个自己的卸载工具。您作为专家来说,您认为它的卸载工具对用户来说有用吗?
李铁军: 我分析过这种工具,它对于一种情况是有效的。就是灰鸽子在种植的时候,***的服务端以服务的形式加入的。灰鸽子的工具类型有好几种,一种是一开机就启动,这种情况下他们官方出的卸载工具是有效的。还有一种情况,我们发现大多数***用第二种方式***。挂在正常的进程里面,是进程注入的方式。比如你的机器想运行灰鸽子,它挂在QQ的进程里面了,你一开QQ的时候就启动了***。你把QQ一关闭,***又退出了。
赵毅: 那就是说也可以通过MSN、IE浏览器等等……
李铁军: 还有迅雷下载等等,它是任意的,想插入哪个进程都可以。针对这种模式,它的卸载工具是完全无效的。我做过一个实验,用一个客户端去控制另外一台肉鸡,我在那台肉鸡上放了它的卸载工具,然后我就执行。它的报告是没有发现灰鸽子。然后我把那个工具退出之后,我还继续可以控制那台肉鸡。
刚才说的这个第二种注入正常的应用程序,灰鸽子工作室提供的官方卸载程序是没有办法的。
赵毅: 那我们的金山专杀工具都可以吗?
李铁军: 对,都可以查杀。
赵毅: 能不能介绍一下,很多用户想知道手动查杀怎么做?
李铁军: 手动查杀需要借助一些工具,刚才说的冰刃(IceSword),检查进程。进程里面有文件、路径都有,然后用别人结束***的进程,根据这个找到文件。在进程当中发现一个文件,比如随便取个名字,你就把这个结束掉,再搜索同名文件后面加一个DLL,你搜索出来,两个文件是一样的,然后把这两个文件都删掉,这样手工就可以解决掉了。还有一种是可以设置注册表当中的一些值,然后查出来进行删除。
赵毅: 有网友问,灰鸽子能不能使用360安全卫士去删除?
李铁军: 不可以。360的原理应该是分析这个文件的加载项,每一种恶意软件加载什么地方,修改什么值,这个大致是固定的。但灰鸽子是可变的。
赵毅: 恶意软件还有***病毒之间有什么联系吗?
李铁军: 恶意软件和***还有病毒,我们发现他们是难兄难弟。它们用的技术差不多,只是最终的目的和作法不完全一样。
赵毅: 刚才谈了很多查和杀的问题,您给我们用户谈谈如何防御的问题。好多网友问怎么防御自己的QQ号码不被盗?
李铁军: 首先把你的QQ号申请密保,跟自己的邮箱、手机号码绑定,这样丢掉还能拿回来。另外还要及时修理漏洞,很多方式都是通过IE浏览器的漏洞植入的。如果你的机器不打补丁,中***的机率比别人高很多。
赵毅: 我们现在谈到如何防御的问题。其实一般用户来讲,他们知道自己常用的那几个文件夹都有什么文件,那么如果一旦中了灰鸽子之后,这个灰鸽子的病毒***进程会放在哪个文件夹下,通常是放在哪里?
李铁军: 一般都在Windows目录里,但是这个路径是可以改的。他愿意放在哪儿,就放在哪儿,不固定的。
李铁军: 这样子让你手动查杀很多文件找不到,它的文件名字可以随意的定,让你找不到。
赵毅: 自己不会新建一个文件夹?
李铁军: 现在还没有。
用户应该如何防范?
赵毅: 作为企业用户可能更关心这个事。他们的一些机密的信息更为重要,一旦被一些恶意的灰鸽子软件使用者把企业的服务器当做肉鸡,可能更可怕。
李铁军: 的确是这样。有很多企业的服务器已经变成肉鸡了,有很多网管还不知道,那些肉鸡都利用企业的服务器做跳板做一些***性行为,他们应该再加强这个方面的安全检查。
如果这台服务器被别人当做代理服务器做跳板的话,它的网络资源会白白浪费很多。可能还有网管最重要,纯粹的技术手段很难防御。这要看网管个人的能力和公司里面的严格的管理制度。
李铁军: 应该做好自己服务器的一些漏洞的更新、修补。
赵毅: 他们就是处于一种想防,不想中这个东西,也不想用它远程控制。但是他们不知道该怎么办,关键的问题就在这儿。您作为专家最好给一些实质性的建议。
李铁军: 应该从一些制度上的管理,比如我有一个朋友说在企业怎样用灰鸽子控制。一般他想得到一些商业机密,比如招投标的时候就想把竞争对手的一些资料拿到,然后可以通过某种渠道看看这台机器有什么文件,或者插上一个U盘,让这个***潜入这台机器。然后就可以进入企业的内部网,接下来干别的事情。这里面企业可能要防止移动设备的滥用,经常出差的一些员工的电脑如果存有大量机密文件,这种被盗的可能相当难以防范。但是把这些机密文件进行一些加密,非常关键的文件阅读权限和访问权限就应该设定好,这样会好一些。
赵毅: 这样是对整个公司的安全教育。您刚才提到移动设备的安全问题,灰鸽子会通过移动设备来传播吗?
李铁军: 它不会自动的去做。移动设备的传播是有一些人故意这么干。比如他想让这台机器中灰鸽子,它插上移动U盘就可以了。他在磁盘上的自动执行文件放一个灰鸽子的***,然后插入起动,这样就会中毒。对于一些安全投资比较多的企业,可能内部用一些***监测系统,这样就可以探测到内部网是不是有这样的***行为。我想大部分的企业没有这种东西。
赵毅: 有网友提问,灰鸽子一直都发展很多年了,但是最近这段时间才很热。这种炒作其实也是很老的问题,是不是由像金山这些运营公司为了自身的市场炒作,而把它的坏处渲染得很大?
李铁军: 有很多朋友有这方面的疑问,有人认为我们在炒作。其实不是这样的,我们内部有一些非常严谨的统计系统,所有的用户中了病毒以后,它的结果会统计收集到后台的数据库当中。从2004年—2006年,我们分析了一下,国内这三家杀毒公司分析报告里面,前十大病毒当中都有灰鸽子***,连续三年都是这样。然后我们发现,分析有关感染中灰鸽子的IP,它是每年都在上升,并且2006年表现最为明显,上升的很厉害,变种数也是去年出的最多的。然后我们想想,这个***单纯从技术方面考虑,保护老百姓的话总觉得这些企业还是很被动,不能很好的解决问题。
然后我们考虑到这个里面是不是有一些社会背景,我们就通过一些网站和论坛,了解到这里面其中隐藏很多东西,发现它确实是商业化的***,有完整的产业链在里面。在这个时候,我们所做斗争的对象不是单个的小病毒,而是很多人在里面做。我想这次受影响的大概是数万人的队伍,这些人现在非常仇恨金山。然后我们在宣布打击灰鸽子***的时候,当天晚上就开始对我们进行***。我们已经预料到这种情况了,所以我们觉得它除了本身病毒疫情严重外,它还有更深层的东西需要关注。我们出于这一点,就把它的内部消息深入的进行探讨,挖掘出来。
赵毅: 有网友问:金山的反病毒软件是自己开发的么?是不是俄罗斯引进的?
李铁军: 百分之百是我们自己的代码,没有引入任何其他公司的引擎。我们是从三年以前就开始使用自己独立的引擎了。
专家建议
赵毅: 我们今天的重点刚才说了一下,如何查杀和如何预防。您作为专家能不能给用户说一说,如何预防像灰鸽子这样的***,给一些比较好的建议?
李铁军: 这是我们觉得有必要跟用户说的。因为用户中了***之后没有任何症状,完全不知道,所以用户应该提高自己的警惕性。我们金山发布一些病毒播报的资料,这样的信息用户看多了之后没有感觉了。但是这种风险我们还是觉得有必要给大家讲清楚,用户应该定期检查机器是否存在这种风险。我们的产品提供相应的功能,比如非常重要的漏洞扫描和修复,这一点太重要了。但是发现我们产品在这一块做的相当不错了,还是有人不愿意更新。他扫描漏洞就是不愿意安装,这样的用户的机器很难保证是安全的环境。
赵毅: 最新瑞星、江民等公司是否有专杀工具吗?
李铁军: 目前没有更新。它们有专杀,但是专杀的效果确实比我们差。
赵毅: 是不是这两家、包括卡巴等公司,它们对这件事情的关注程度不是最够的强,是因为它们投入的点不够,还是技术有限?
李铁军: 他们关注的点可能不在这里。
赵毅: 您感觉,金山对这件事情的重视和其他厂商的不同,原因是什么?
李铁军: 我无法知道其他厂商的情况。但是我可以描述一下我们的,除了做杀毒软件以外,我们还是网络游戏的运营商,我们有太多的用户有这种切肤之痛,这种感觉和其他厂商不一样。我们客服每天都接到大量的投诉,我的号又被盗了。这种感觉其他厂商无法体会到,但是我们知道,所以我们继续关注灰鸽子***背后的东西。我们发现更可怕的一些东西,他们这种***产业的规模达到相当可怕的地步,所以我们觉得有必要在这一块加强重点,进行攻关。所以我们在两三个星期就提出了一个专杀方案,这个效果是不错的。这个可能是我们和其他公司看法不一样的地方。
赵毅: 你感觉是否需要或者很有必要和其他厂家联合来做,还是靠金山一家就足够了?
李铁军: 如果联合更多的安全厂商来做,那打击灰鸽子***的速度就会大大加快。如果只是我们一家来做,我们只是覆盖到我们的用户,我们的用户会因此受益。其他的厂家不加入的话,整个打***战役的时间会延长,但是它们肯定会跟进的。我们已经发了倡议书,希望所有做安全的企业联合起来对付这种恶意的***。
赵毅: 但是您也谈到,灰鸽子已经不再是一个单纯的软件,或者病毒。它已经形成了一个产业,既然已经到了产业层面,是否能够简单的运用技术上的手段来达到遏制的效果呢?
李铁军: 根本上用技术来解决是很困难。
赵毅: 那么根本的解决办法是什么?
李铁军: 灰鸽子已经不再单纯是一个技术的问题,它已经转变为一种社会问题了。社会相关的各个方面都应该思考的问题。就是为什么这种非法的软件能在互联网上泛滥。我们对这种非法的软件采取什么样的措施进行管制,这个可能是一些社会学家,或者法律学专家应该探讨的事情。作为安全厂商,我们只能提供技术上的方案,其他的事情我们没有能力做到这些。
赵毅: 我看到灰鸽子的一些组织,对金山也在采取一些报复行动。对于这些报复行动,金山还有什么样的后续行动吗?
李铁军: 我们已经把相应的证据收集起来,并提交给国家相关部门,现在已经立案在做了。我们觉得这些线索是对打击这些网络犯罪是有帮助的。我们随时会被他们列为***的目标,我们不敢说它只***这一次。4月1日发通知要***我们网站,我不知道是愚人节的玩笑,还是他们真的要干。这个还不知道。
赵毅: 我们的网友现在问题很多,我们也和网友多沟通一下。
赵毅: 网友问:难道做了漏洞的更新、修补,就可以高枕无忧了吗?
李铁军: 肯定不够的。漏洞修复至少安全系数比别的系统要高很多,但是如果说这个人就是想去点击看到什么新鲜的东西试一下,看到一个朋友发过来的某个程序,不知道什么效果就想运行,那么也没有办法。恶意程序到你的桌面就要执行,所以这边要及时更新反病毒软件,对外来程序进行检测。然后你觉得这个东西没有用,而且不知道它是干什么,就不要双击它进行安装。
赵毅: 网上很多人后进来了,一则他们对灰鸽子和传统的病毒区别还不是很了解,还是说这种病毒感染是什么样。因此请专家再简单把这两种介绍一下。二是大家关心查杀灰鸽子分几步走?
李铁军: 其实灰鸽子和普通的病毒是有明显区别的。传统的病毒都可以进行自动的复制,向外进行传播。灰鸽子不会这么做,只会一对一的,你下载这个病毒,就会中。或者给你发一个,你执行了就会中毒。这是一个非常明显的区别。
杀灰鸽子其实有这么几步,假如你突然发现你的机器上别人在远程控制你的桌面,你第一感觉是有人控制我的电脑。第一步就是把网络断开,然后考虑手边有没有相应的使用工具。比如专杀可以扫描一下。如果没有,你就要从别的机器上下载。我认为最简单的处理方法,第一步扫描,专杀工具看看能不能检测到有没有灰鸽子,如果有就会直接杀掉。那么你就可以放心的上网,做一些别的修复工作,比如下载冰刃。修改系统中所有***修改过的地方。对于企业来讲,因为它不是一个病毒,不是蠕虫性的。所以你不用担心这个***在网络当中是不是机器都有,蠕虫和***的区别就是不能主动复制。如果你发现***,专杀病毒有效你可以让它查一遍,很快就可以扫描出来。不像处理病毒那么费劲。
赵毅: 就是说它的传播形式更像是一个病毒软件?
李铁军: 没错。
赵毅: 在对付灰鸽子这种软件也罢,产业也罢,您觉得普通用户他们要注意什么呢?除了中毒以后查杀以外,那么在预防上有什么呢?
李铁军: 其实用户的作用很大。如果你发现你的系统被远程控制,你仅仅是这样算,首先应该考虑保护自己的利益。比如你的一些隐私数据被人通过这种渠道上传网站,你应该拿起法律的武器打击他们。这样让这种在网上随意控制别人电脑的行为被减少,如果你不愿意做这种事情实际上就是纵容这些人做这种事情。比如有的人QQ号丢了,还有像银行帐号丢失的会报案,然后去查。还有家里的情况,比如你的隐私数据被拍了,放在网上,你就可以让这个网站协助你查这个事情,要知道是谁把这个资料放上去的,要有相关的法律保护,维护自己的权利。用户还有一个非常重要的,就是做自己的安全防护,不要太容易的被当作肉鸡了。当了肉鸡之后,可能成为远程控制的手中一颗棋子,它可以利用你的机器做更多的坏事。
赵毅: 网友问:金山的杀毒软件是否已经超越现有的技术呢?
李铁军: 我们不能说是超越现有的所有技术,只是说自己目前的技术对付已知的灰鸽子做的各种各样的加壳,或者变种的处理非常有效,但是我们不能说我们是最好的。肯定还有其他的一些公司提出自己的方案,但是目前我们的技术,能让我们的客户满意。
赵毅: 这位网友说:安全的事情不是装一个软件套装就可以解决的。
李铁军:我觉得这个网友说的非常正确。
赵毅: 网友问:mag_hook.dll是否与灰鸽子有关系?
李铁军: 这是2005版的灰鸽子,2006版也有这样的文件。让他去查*_hook.dll,途径一般在Windows目录下。然后知道*前面涉及到什么样的字串,它们都在一个目录下。
赵毅: 因为咱们谈到了很多远程控制的问题,有的用户需要远程控制。那么他在选择的时候,这时候需要注意哪些工具是正常的?
李铁军: 有很多安全的远程控制工具。操作系统本身提供的远程桌面是很安全的。PcAnyWhere可能是商业软件,比较贵。但是操作系统自己带的远程桌面是不需要花钱的,只要启动服务就行了。
李铁军: 这个服务像远程桌面3389的端口,很多***会扫描你是否开了,然后会尝试猜你的密码进来。他登陆的时候最关键的就是你的管理密码,如果扫描3389就知道你使用的是远程桌面,接下来尝试连接进去,这个密码很关键。
赵毅: 网友问:金山的网站几次被攻破过?
李铁军: 灰鸽子那天***我们的时候,不是我们的网站被攻破了。我们的网站结构由我们自己提供的前端服务器,然后由运营商把我们的数据镜像到CDN服务器。用户其实访问的是镜像服务器,其中有一部分控制了CDN机房里面的机器对我们进行***。在用户正常访问我们的时候,是另外的一个。当天我们的处理技术是把用户访问CDN服务器变成直接访问我们。我们的服务器是可控的。那个机房里面托管很多的服务器,其中有一台机器防护比较弱的主机被***了,然后***通过这台机器,影响到这个机房中的很多其它服务器,包括其它公司托管的服务器。
赵毅: 一般来说:灰鸽子通过哪些端口?
李铁军: 它一般使用的是8000。这个端口还可以自己定义,一般来讲***会选择一个最常用的端口,不容易被网管禁掉的。
赵毅: 今天我们谈了一下灰鸽子的发展历程,以及灰鸽子的危害,还有一些灰鸽子的查杀方法,以及专家告诉我们一些关于灰鸽子的预防诊断手段和方法,对广大网友肯定会提供一个借鉴的机会。大家可以看看自己的电脑是否已经成为肉鸡。
赵毅: 感谢专家来到我们51CTO的在线聊天室,感谢大家,下期再见。
李铁军: 谢谢网友!
转载于:https://blog.51cto.com/litiejun/21889
8万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
