投票
标题:灰鸽子病毒大规模爆发 危害超熊猫烧香
grape0915 (grape)
万物创造者
Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9
自己玩


论坛达人  百目惠识  
UID 6757
精华 7
积分 253264
帖子 8391
狼毛 507482 根
阅读权限 110
注册 2005-8-24
来自 canton
状态 离线
发表于 2007-3-15 16:23 资料 短消息  加为好友 
灰鸽子病毒大规模爆发 危害超熊猫烧香

2007-3-15 10:25:00 文/张建新 出处:新华网

  连续3年的年度十大病毒、被反病毒专家称为最危险的后门程序的“灰鸽子2007”正在大规模集中爆发。

  与“熊猫烧香”病毒的“张扬”不同,“灰鸽子”更像一个隐形的贼,潜伏在用户“家”中,监视用户的一举一动,甚至用户与MSN、QQ好友聊天的每一句话都难逃“鸽”眼。

  专家称,如果说“熊猫烧香”的危害还停留在对电脑自身的破坏,而“灰鸽子”已经发展到对“人”的控制,而被控者的人却毫不知情。金山总裁雷军说,从某种意义上讲,“灰鸽子”的危害超出‘熊猫烧香’10倍。

  监测数据显示,仅今年2月,中国约有258235台计算机感染“灰鸽子”,而同期感染病毒的计算机总共才2065873台,就是说每10台感染病毒的计算机中,就有超过一台感染了该病毒。

  有法律专家指出,中国的互联网立法比国外相对落后。《计算机信息网络国际联网安全保护管理办法》中规定制造和传播病毒是违法的,但是对于木马、黑客程序、“流氓软件”等并没有清晰的界定。这也是“灰鸽子”制造者敢于利用网络公开叫卖的根本原因。

 顶部
grape0915 (grape)
万物创造者
Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9
自己玩


论坛达人  百目惠识  
UID 6757
精华 7
积分 253264
帖子 8391
狼毛 507482 根
阅读权限 110
注册 2005-8-24
来自 canton
状态 离线
发表于 2007-3-15 16:24 资料 短消息  加为好友 
灰鸽子拒认病毒身份 辩称远程管理

2007-3-15 13:41:00 文/网络整理 出处:网络收集

  灰鸽子自诞生之日起,就被反病毒专业人士判定为最具危险性的后门程序。2004-2006年,连续三年荣登国内10大病毒排行榜。就是这样一个极度危险的程序,其开发者在使用许可中辩称自己是远程管理软件,有可能被部分杀毒软件误认作后门程序查杀,建议使用前关闭杀毒软件,否则将不能正常使用该软件的功能。

  据金山反病毒中心提供的数据,金山毒霸截获的灰鸽子变种数量已经超过6万个,每一家杀毒软件厂商在得到灰鸽子新样本后,就会毫不犹豫地将其纳入新的查杀目标。如果一个正常的软件,一旦被反病毒产品判定为病毒,其开发者会第一时间要求反病毒公司修正其错误。而灰鸽子的作者从来没有,而是不断推陈出新,同全球反病毒产品持续对抗达5年之久,并且丝毫没有放弃的迹象,这极其不寻常。

  毒霸最早截获灰鸽子是在2001年,功能相对简陋,病毒化的趋势也不甚明显。随着其版本的不断更新,病毒化特征日趋显著,利用HOOK API的方式实现病毒文件及病毒进程的隐藏,不是有经验的人,很难发现中了灰鸽子。2007年2月21日,灰鸽子2007beta2版本发布。该版本可以对远程计算机进行如下操作:编辑注册表;上传下载文件;查看系统信息、进程、服务;查看操作窗口、记录键盘、修改共享、开启代理服务器、命令行操作、监视远程屏幕、操控远程语音视频设备、关闭、重启机器等。而这所有操作,远程计算机的操作人员可能毫不知情。

 顶部
老实和尚 (囧rz)
万物创造者
Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9
闲人居主


UID 9
精华 18
积分 121480
帖子 3504
狼毛 102247 根
阅读权限 110
注册 2004-5-9
来自 闲人居
状态 离线
发表于 2007-3-15 23:03 资料 主页短消息  加为好友 添加 老实和尚 为MSN好友 通过MSN和 老实和尚 交谈QQYahoo!
如果我的机器有。。我毫不吃惊。。。

 顶部
grape0915 (grape)
万物创造者
Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9
自己玩


论坛达人  百目惠识  
UID 6757
精华 7
积分 253264
帖子 8391
狼毛 507482 根
阅读权限 110
注册 2005-8-24
来自 canton
状态 离线
发表于 2007-3-16 11:50 资料 短消息  加为好友 
我的机器不会有这个,最近防火墙经常删的都是viking或者HTML.Download

 顶部
ucgplayer
圣洁的灵魂
Rank: 7Rank: 7Rank: 7Rank: 7Rank: 7Rank: 7Rank: 7
titan的挑战


UID 17003
精华 0
积分 27301
帖子 3395
狼毛 144777 根
阅读权限 90
注册 2006-7-14
来自 风花雪月的城市
状态 离线
发表于 2007-3-16 11:55 资料 主页短消息  加为好友 添加 ucgplayer 为MSN好友 通过MSN和 ucgplayer 交谈QQ
如果中了 重装...





生死看淡 不服就干。


找工作找我呀!360543011@qq.com
 顶部
笑天宇
敬畏的静寂
Rank: 6Rank: 6Rank: 6Rank: 6Rank: 6Rank: 6


UID 2732
精华 1
积分 3069
帖子 567
狼毛 5 根
阅读权限 60
注册 2005-1-15
状态 离线
发表于 2007-3-16 13:39 资料 短消息  加为好友 QQ
我的机子有吗?但愿没吧,但愿...





杀无赦
 顶部
grape0915 (grape)
万物创造者
Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9
自己玩


论坛达人  百目惠识  
UID 6757
精华 7
积分 253264
帖子 8391
狼毛 507482 根
阅读权限 110
注册 2005-8-24
来自 canton
状态 离线
发表于 2007-3-17 17:21 资料 短消息  加为好友 
李鬼?李逵? 深入了解灰鸽子2007真实功能

2007-3-17 10:54:00 文/冷漠 出处:cnbeta

  灰鸽子,一个自诞生以来,就被各杀毒厂商一致喊打的木马程序,尽管其作者在软件许可中辩称自己是远程管理软件。

  “三尺长的大砍刀,刃上带锯齿,边上有血槽,刀柄里藏着几十发暴雨梨花针,还随刀附送淬毒所需全部材料和设备,现在贴个标拿出来卖,说自己是菜刀,你还真有才~~~~”这是网友对灰鸽子2007的评价。

  从功能上看,该软件的确满足了远程管理的需求。问题是,作为网管,你会用它来做远程管理软件吗?笔者电话访问了10个网管朋友,其中5个在用 pcanywhere,3个用远程桌面,2个用radmin。再问你会不会使用灰鸽子做远程管理时,全部都说“不”,其中一个朋友还说,网管用灰鸽子管服务器,那就是脑袋进水。

  本文简单列举一下灰鸽子客户端和服务端的功能,和真正的网管软件做个比较,试图给读者揭露灰鸽子软件的真实意图,看这个软件是否真如其作者所辩称的那样,仅是一款远程管理软件。

  远程管理软件一般有服务端(被控端)和客户端(控制端)两部分组成。管理员先在需要管理的服务器上安装启用服务端程序,服务端就开启相应网络端口,等待接受客户端的指令,客户端连接服务端指定端口后即可完成远程管理任务。所有管理员都知道远程管理的风险,只有具备远程管理权限的客户端才能正常建立连接。并且,所有的管理操作,在服务端,都会提供连接日志,以便管理员进行管理维护。有兴趣的朋友尽可以拿windows远程桌面和PcAnyWhere来试验。

  而灰鸽子服务端,不是等待客户端连接,而是系统一启动,服务端就会去自动上线连接控制端,控制端的操作人员随时可以完成他想要的操作,而这一切,服务端的管理员可能毫不知情。

  配置服务端自动上线



图1

  服务端程序运行后自行删除,并且可以选择完全隐藏服务端图标,即使有服务端图标,和其它正常的远程管理软件不同的是,这个图标完全没有任何用处,你只是知道它存在而已,想关闭也很难办。

  配置即将种植在肉鸡上的病毒名



图2

  配置病毒自动加载启动项



  服务名称可任意定制,这意味着非常多的人会被虚假信息蒙骗,这一项可以取消,这样配置出来的服务端,运行msconfig进行启动项管理,也不会发现木马的痕迹。



图3

  配置代理服务器



  这样,中灰鸽子的机器就不明不白的为第三方提供网络连接服务了。使用代理服务器作跳板对第三方目标发起攻击,是黑客最爱干的事儿,一旦有人追查,这些代理服务器,就成了真正黑客的替罪羊。



图4   配置隐藏选项

  如下设置后,能有几个人发现被安装木马了呢。这绝对不是一个正常的远程管理软件应该具有的功能,那谁真正需要它呢?读者想想就清楚了。



图5

  配置最终生成的程序图标



  都很熟悉吧,看到用这些图标做掩护的文件,相信不少人想都不想,就双击了吧。



图6

  插件功能

  可用来捆绑第三方软件,比如流氓软件



图7

  奇怪的是,这个辩称自己是远程管理软件的东东,在服务端却没有任何与访问权限和日志记录等管理软件必备的功能设置。真正的网管软件,服务端不需要日志记录吗?

  接下来,我们再看灰鸽子客户端想要控制什么。

  服务端启动后,客户端立即发现目标主机自动上线,意味着客户端可以为所欲为了



图8

  直接操作肉鸡电脑文件



  可以任意操作目标主机上的文件,上传下载,删除修改,看中什么就拿什么。



图9   远程控制命令组



  有更多的功能可以操作,远程控制命令组,可以查看远程主机的系统信息、剪切板、进程、窗口、键盘记录器、服务、共享、模拟命令行操作、设置代理服务器和启动插件。下面这个是启用键盘记录器的记录。想想,如果目标主机的操作人员正在和某个MM聊天,或者正登录网络游戏,你的每个击键动作,都在别人的眼皮底下。



图10

  远程编辑注册表

  上传个有害程序,修改目标主机注册表,让这个程序自动加载,和操作你本地的注册表一样容易。



图11

  命令广播功能



  控制端可以把控制命令一次性广播到若干台计算机,如果一个攻击都利用灰鸽子组成了一个僵尸网络,用这个功能就可以同时完成一个特定的任务了。任务完成还可以立即远程卸载服务端,达到毁尸灭迹的效果。



图12

  远程桌面



  是远程管理软件的基本功能,注意和windows的远程桌面比较一下,你会发现,客户端是不需要提供任何登录凭据的,想来就来,不用和门卫打招呼。

  远程Telnet

  和你在远程计算机上执行命令行是完全一样的,而这时候你去检查服务端计算机上的telnet服务,实际上仍是关闭着,灰鸽子自己设计了一个远程命令行工具。即使远程计算机的所有者禁用了telnet仍然无忌于事。



图13

  远程控制摄像头

  这是灰鸽子开发者设计的最变态的功能,完全满足了部分偷窥狂人的欲望。可以控制远程计算机的摄像头,在服务端操作人员完全不知情的情况下,控制端可以把摄像头目标中的拍摄下来。机房里的服务器需要摄像头吗?



图14

  看到这里,所有人都明白了灰鸽子到底想干什么,它是远程控制软件吗?它到底为谁开发的?程序员的智慧应该用在什么地方?灰鸽子不是其作者辩称的远程控制软件,是个彻头彻尾的恶意木马。

 顶部
fdcnvb
传说中的存在
Rank: 8Rank: 8Rank: 8Rank: 8Rank: 8Rank: 8Rank: 8Rank: 8


UID 13204
精华 1
积分 62621
帖子 3819
狼毛 552 根
阅读权限 100
注册 2006-3-12
来自 北方
状态 离线
发表于 2007-3-17 18:00 资料 短消息  加为好友 
硬盘全格好了,反正才80G

 顶部
swf19790207
无名的旅人
Rank: 1



UID 8145
精华 0
积分 28
帖子 7
狼毛 0 根
阅读权限 10
注册 2005-10-15
状态 离线
发表于 2007-3-17 18:32 资料 短消息  加为好友 
给个下载地址吧 我也想玩玩

 顶部
inf
欢喜的慈雨
Rank: 5Rank: 5Rank: 5Rank: 5Rank: 5



UID 11285
精华 1
积分 1759
帖子 1239
狼毛 87 根
阅读权限 40
注册 2006-1-19
状态 离线
发表于 2007-3-19 10:05 资料 短消息  加为好友 
“三尺长的大砍刀,刃上带锯齿,边上有血槽,刀柄里藏着几十发暴雨梨花针,还随刀附送淬毒所需全部材料和设备,现在贴个标拿出来卖,说自己是菜刀,你还真有才~~~~”这是网友对灰鸽子2007的评价。

真超值啊,符合3.15消费者权益。

灰鸽子不错,考虑在公司的电脑装个,在家控制,呵呵。

 顶部
 



当前时区 GMT+8, 现在时间是 2024-11-24 16:06
苏ICP备2024131517号

Powered by Discuz! 5.5.0 © 2001-2007
Processed in 0.012988 second(s), 8 queries, Gzip enabled

清除 Cookies - 联系我们 - 狼窝 - Archiver - WAP