[转帖]灰鸽子病毒大规模爆发 危害超熊猫烧香
灰鸽子病毒大规模爆发 危害超熊猫烧香
新华网天津(记者 张建新)连续3年的年度十大病毒、被反病毒专家称为最危险的后门程序的“灰鸽子2007”正在大规模集中爆发。
与“熊猫烧香”病毒的“张扬”不同,“灰鸽子”更像一个隐形的贼,潜伏在用户“家”中,监视用户的一举一动,甚至用户与MSN、QQ好友聊天的每一句话都难逃“鸽”眼。
专家称,如果说“熊猫烧香”的危害还停留在对电脑自身的破坏,而“灰鸽子”已经发展到对“人”的控制,而被控者的人却毫不知情。金山总裁雷军说,从某种意义上讲,“灰鸽子”的危害超出‘熊猫烧香’10倍。
监测数据显示,仅今年2月,中国约有258235台计算机感染“灰鸽子”,而同期感染病毒的计算机总共才2065873台,就是说每10台感染病毒的计算机中,就有超过一台感染了该病毒。
有法律专家指出,中国的互联网立法比国外相对落后。《计算机信息网络国际联网安全保护管理办法》中规定制造和传播病毒是违法的,但是对于木马、黑客程序、“流氓软件”等并没有清晰的界定。这也是“灰鸽子”制造者敢于利用网络公开叫卖的根本原因。
怎么预防“灰鸽子”
灰鸽子自身并不具备传播性,一般通过网页、邮件、IM聊天工具、非法软件四种途径进行传播。
网页传播是指病毒制作者将灰鸽子病毒植入网页中,用户浏览即感染;邮件传播是指灰鸽子被捆绑在邮件附件中进行传播;IM聊天工具传播是指通过即时聊天工具传播携带灰鸽子的网页链接或文件;非法软件传播是指病毒制作者将灰鸽子病毒捆绑进各种非法软件,用户下载解压安装即感染。
灰鸽子病毒泛滥已经数年,变种数万,因为病毒具备很好的隐形特性,让人防不胜防。日前记者采访了金山、瑞星、江民等杀毒厂商,他们建议网友在使用电脑时应注意以下几点:
1.注意安装IE浏览器的补丁程序,很多灰鸽子是攻击者故意把病毒放在带漏洞攻击程序的网站上,有漏洞的机器访问这些网站就会中毒。
2.及时升级杀毒软件,使用盗版杀毒软件(或者一个正版ID用在多台计算机上)是不能正常升级的,特别需要检查。
3.对朋友或陌生人发送来的可疑程序不要运行,别被对方的谎言蒙骗。
4.关闭所有磁盘的自动播放功能,避免插入带毒U盘、移动硬盘、数码存储卡中毒。
如何猎杀“灰鸽子”
由于灰鸽子本身的隐蔽性很强,用Windows系统自带的工具,很难发现灰鸽子入侵。那我们如何去发现电脑中已经被植入的灰鸽子病毒呢?一般而言大家可采用杀毒软件将 “灰鸽子”病毒查杀掉,但是由于“灰鸽子”不断变种,因此大家需要经常更新,而且即使更新也难以跟上“灰鸽子”的变种速度。所以,电脑用户还可以去下载一些专杀工具,如果即使下载专杀工具仍无法完全清除“灰鸽子”的话,建议电脑用户可采用手工杀毒的办法来清除“灰鸽子”木马程序。
手工杀毒办法
手工杀毒需要借助工具软件:冰刃。无法根据进程列表看出哪个是病毒时,可以启动冰刃,同时打开任务管理器比较一下,冰刃里多出的进程可能就是灰鸽子病毒。进程名如果是假冒word、记事本的图标,需要重点关注。
选中G_server2007进程,单击右键,结束进程,然后直接根据提示点左边的文件,浏览到上图程序名称提示的文件夹,找到g_server2007.exe和g_server2007.DLL(中毒后的文件名由攻击者定制,各不相同,应尽可能根据冰刃提示的路径去查找。有的版本带有_hook.dll,可以查看文件日期,应该是同时生成的。)点击右键,彻底删除即可。
“灰鸽子”身世
2004年、2005年、2006年,“灰鸽子”木马因为连续三年被国内各大杀毒厂商评选为年度十大病毒而声名大噪,逐步成为媒体以及网民关注的焦点。自2001年出现至今,灰鸽子主要经历了模仿期、飞速发展期以及全民黑客时代三大阶段。
“灰鸽子”最初主要模仿“冰河”木马,早期并未以成品方式发布,更多的是以技术研究的姿态,采用源码共享的方式出现在互联网。由于名气不及“冰河”,当时只出现了少量的感染,但其开放源码的方式也使其传播量逐渐增大。
因为源码开放,“灰鸽子”的版本越来越多。当时,大部分安全厂商将对用户上报和监测到的“灰鸽子”服务端都认定为“黑客程序”,并坚决查杀,在一定程度上遏制了灰鸽子的发展速度。
2004年至2005年,大量的商业动作实现了互联网化,电子商务成为普通网民进行消费的选择之一,网络游戏在中国大地全面开花。在这样的情况下,大量通过IM(即时通讯软件)传播的木马和病毒不择手段地从用户系统中盗取网银账号、网游账号及密码,给中国互联网提出了新的挑战。灰鸽子也逐步进入成熟期,大量变种在互联网中衍生。