2007年3月23日,国内三大安全厂商江民、金山、安天的安全专家将携手北京邮电大学信息安全博士共同聚首赛迪嘉宾聊天室,从技术层面为您深入剖析灰鸽子。
主持人: 大家好,今天我们会从技术层面和大家聊一下灰鸽子的危害。这次我们请来了北京邮电大学信息安全博士李剑、金山防病毒专家李铁军、江民防病毒专家何公道先生、安天防病毒专家张晓兵。正式开始第一个话题,请各位专家从概念上介绍一下什么是灰鸽子?
李剑:
灰鸽子是一款带有木马等特征的病毒。
李铁军: 灰鸽子是反向连接木马,会给用户的安全性带来非常严重的威胁。
何公道: 最早期的灰鸽子,据说是在冰河的作者停止更新以后萌发制作灰鸽子的想法。
张晓兵: 我们认为灰鸽子不应该是木马,应该算是后门,木马是主动窃取行为的行为,它窃取的目的在编写的时候已经明确了,而后门是嵌在你的机器上。
主持人: 我总结一下,它肯定不是一种正常的软件,第二是对计算机有破坏性的。那么第一个灰鸽子是什么时候发现的呢?
李剑: 去年检测的时候至少年底的时候应该是有了,具体什么时间不太清楚。
李铁军: 我们最早抓住灰鸽子的样本是2001年。
何公道: 以前都查不太清楚,查到最早的应该是2002年4月份,因为之前灰鸽子不太有名气,之前有很多有名气的受到网友追捧的,像“冰河”等。
主持人: 早期的灰鸽子有哪些比较突出的特征呢?
李剑: 它刚出现的时候跟熊猫烧香不太一样,它非常隐蔽,不容易被人发现。
主持人: 早期灰鸽子都采取哪些技术?
李铁军: 我觉得比较引人关注的就是反向连接。
张晓兵: 它跟冰河开始有一些控制都是一样的,它不是由客户端访问服务器的。
李剑: 对于用户来说最大的危害在哪儿呢?我个人认为有三点它是隐藏的。一个是进程隐藏,第二服务隐藏,还有病毒文件的隐藏。早期的病毒能看到,现在是变种非常非常多,找不到它。普通用户找不到,但是杀毒软件是可以找到的。所以普通用户中了灰鸽子没感觉。但是熊猫烧香不一样,我们认为可执行文件都可以看到,灰鸽子是感觉不到,这是非常恐怖的。就是我们在不知不觉中一些信息已经被人家盗取了。
主持人: 何工能给大家介绍一下灰鸽子经历了哪些发展历程吗?
何公道: 灰鸽子最早是纪念版,然后有辐射版、VIP版、迷你版、各种各样的VIP版还有企业版。其实灰鸽子最早一些包括BU等软件都是单向控制的,灰鸽子是可以控制更多。
李铁军: 只要带宽足够可以连很多个。
何公道: 它有集中控制的能力,所以有企业版。
李剑: 现在最厉害的仅二月份全国感染病毒的有200多万,这是报上来的。光灰鸽子报了将近20多万,也就是说十台机器有一个是灰鸽子病毒。
网友: 早期灰鸽子发展过程中都出现哪些比较特殊的技术呢?
何公道: 灰鸽子的技术都是滚动发展的,是别人有一个想法然后来实现。这个跟“后门”软件也差不多,都是我学你,你学我。灰鸽子比较有名的是伪装IE。
张晓兵: 还有一些文件隐藏,包括有一些重要的改进就是某一个版本以服务的形式出现,当它本身运行的时候有些软件认为它已经运行了,但是在查运行的时候查不到,这样就会造成灰鸽子杀毒失败,但是还在你的系统里。
李铁军: 我们查一些资料的时候发现灰鸽子2005年有比较大的改动。它是在直接控制对方的驱动上有一个突破。远程桌面连接的时候,使用冰河的话两个桌面连接会明显感觉到中了木马的机器速度会变慢,灰鸽子在这一块比冰河做的好多了。
张晓兵: 自从控制摄像头之后网络就更加没有隐私了,因为它有了很好的收入之后会投入更多的精力发展更好的功能,有了更好的功能会有更好的收入,这样滚动发展。
主持人: 我查了一些资料,说是灰鸽子新版本采用了新的隐藏技术。
张晓兵: 即使普通用户把系统文件隐藏全部显示出来也看不到它的存在。
何公道: 在IE里面,在Windows资源管理器、系统目录等都是看不到的。
李剑: 一般来说我们看到隐藏文件都是在文件夹设置里面,但是它通过API的调动正常模式下,木马文件和它注册的服务被隐藏了。
张晓兵: 如果用一个跟它级别相当功能的电脑查文件的话会有漏洞,所以要求反病毒企业更需要有更底层的技术从底层控制。
李剑: 病毒文件的文件名是由发起病毒人自定义的。不像冰河,它是.EXE,这个文件名对普通网民来说是很难发现的,它的文件名能变。
何公道: 它就提供了这个功能,可以随便设,换什么图标都可以。
张晓兵: 就是根据使用者想攻击对方用户的喜好来改变。
主持人: 现在的灰鸽子是充分利用了社会工程学,是这样吗?
李铁军: 刚才说的这些特点就属于社会工程学里面的。
主持人: 它用的是淋漓尽致。而且它更有诱惑性,比如更改图标、更改文件名。
张晓兵: 而且对大部分电脑用户来说不显示扩展名的,如果做成一个Flansh大家认为是一个Flansh,其实一点开就是病毒。
主持人: 大家都知道这阵子灰鸽子闹的非常凶猛,引起了大家的注意,相关的案件也出现了。现在对广大网民造成最大威胁的灰鸽子是最新版本的吗?
李铁军: 我们看到2007版本也有,2005、2006版本都有。灰鸽子服务端有一个特点,可以自动更新的。
张晓兵: 黑防版本还是比较有意义。它之前是一个付费软件,黑防版本是破解软件,很多网民不用付费就可以使用,这样会促进一些用户使用灰鸽子。
主持人: 现在也可以被一些黑客破解掉了,可以免费使用?
张晓兵: 对,而且还加了自动免杀,用它会比正版更高。
主持人: 之前网友在网上留言,他说现在一般灰鸽子都加壳了不容易被查出来,免杀就是在上面加壳是吗?
何公道: 加壳只是一种方式。它可以通过各种各样的办法,可以理解为加壳就好比戴一个手套。
张晓兵: 免杀本质就是会针对目前所有的杀毒软件做一个测试,根据杀毒软件对他们识别的模式修改自己。修改的东西往往是加壳或者是反复加壳,或者对代码进行修改,类似对搜索引擎进行研究然后对搜索引擎进行优化一样。他们是对查杀进行一些优化,使他们不被查出来。
主持人: 安天的木马防线他们是不是也会针对这个做一些设置?
张晓兵: 它第一不可能穷尽所有的杀毒软件,这是属于魔高一尺道高一丈,他加壳之后我们会重新剥壳,属于一攻一防的。
何公道: 比如我们加了一段指令,后来发现这段指令变了,这个文件里做全文比较,后来发现全文变了,网上都有教程帮你把代码改变。
李剑: 据不完全统计有26万个网站教你灰鸽子课程。
李铁军: 也有交200块钱可以手把手教你。
主持人: 李博士是互联网协会防恶意软件协调工作组技术组组长。您能给我们说一下灰鸽子与恶意软件的关系是怎样的?
李剑: 灰鸽子更多的是属于病毒的特征,恶意软件不属于病毒软件的范围。
主持人: 他们之间有勾结吗?
李剑: 这要看互相之间是怎么控制的,比如向被控的计算机传一些恶意软件等。
李铁军: 配置服务端的时候可以把恶意软件捆绑。
李剑: 现在病毒是集多种特征为一体的。
主持人: 现在最新版本灰鸽子突出的特征是什么?
李铁军: 隐藏性更强。最新的版本大量的人使用的是注入进程,不再是注册系统服务。注入一个进程不是一开机就启动,是你在启动一些别的程序的时候再启动。
张晓兵: 比如你启动视频播放软件,他就可以在这个软件启动的时候进入到你的空间,即使有些安全手段也仍然妨碍不了他的工作。
主持人: 这么看来灰鸽子已经不单独是个人的行为,已经是组织性的行为了?
李铁军: 其实早就有组织,灰鸽子有一个工作室,有一些论坛,我们发现这些论坛很可能就是工作室直接操作的。
主持人: 能否从技术角度为网友剖析一下比较火爆的灰鸽子版本整个架构是什么?
何公道: 不同的版本肯定是不一样的。最早之前的版本一般用类似于释放器,这个释放器可以安装三个ADSL,后来还有服务,就是服务形式存在的单文件。所以每个结构存在的形式都是不一样的。
张晓兵: 整体结构是我们大家熟知的客户端-服务器结构,有一个很小的服务器端然后潜入到用户系统,这样有一个比较庞大的客户端所有的控制功能都在服务端上。包括控制视频、控制文件、控制电脑。除了这个还有配置,比如之前提到的文件名、图标等灰鸽子都可以进行配置,还能自动升级到新的版本。另外它以前是单线程、单点控制,现在可以多点控制。对僵尸网络的形成就有很大的好处,对互联网威胁就更大了。
李剑: 为什么会有这些呢?实际上都是跟背后的利益相关。一个普通的用户一个月抓10万台“肉鸡”的话轻松赚一、二万不成问题。这不还包括窃取游戏号、QQ号等等。
李铁军: 他在卖之前是把“肉鸡”上的东西搜刮干净的。
主持人: 灰鸽子大概是怎么样入侵我们的系统的呢?
李铁军: 我们发现最广泛进入系统的方式是通过浏览器进入。有位网友曾经告诉我们,他就是专门做一个特别吸引人的网站,就是免费电影的网站,然后大约一个小时左右可以抓到600台“肉鸡”。
主持人: 如果说我的机器中了灰鸽子,怎么可以看出来呢?
何公道: 这是很困难的一件事。
主持人: 冰河控制机器的时候一旦它有所动作会感觉机器很慢。
李剑: 中冰河可以通过端口看,古老的木马可以从原文件看,一般普通的用户查机器是不是中了灰鸽子病毒的话怎么查呢?也是有一定的小方法的,比如Windows安装目录下有没有*Hook.dll,一般有这个文件就是中灰鸽子病毒了。早期病毒的名字有一个GAME,如果有Hook、Game,关键词的话很可能就是中了灰鸽子病毒了。
主持人: 前两天我下了一个压缩包文件,刚运行电脑杀毒软件就把它杀掉了,但是桌面出现了一些快捷方式,都是我没有见过的一些网络连接,之后机器出现重启,这是属于灰鸽子病毒吗?
李铁军: 这个肯定不是灰鸽子,灰鸽子你中了之后是没有任何感觉的。今天有一个网友发来信息跟我说,他的机器一年来中就中了灰鸽子病毒,但是发现对机器没有什么影响,干脆把杀毒软件关了不管它了,他是学计算机的,对网页编辑特别有兴趣。所以广大网友对安全的意识还是需要提高的。
何公道: 灰鸽子是每一步都需要控制者自己去做。
主持人: 现在QQ上有防止密码泄露的技术,灰鸽子对它有没有进行破坏呢?
李铁军: 比如你的键盘输入中文编码这边会直接显示汉字。
李剑: QQ你上去之后他再想偷很困难,但是你上的过程中他可以偷。从物理层来说你得敲键盘、密码,这个过程可以偷。
主持人: 我有一个习惯,输入自己用户名和密码的时候会通过鼠标重定位,这样的话可以达到预防灰鸽子的监控吗?
何公道: 对纯键盘监控是有效的。但是也许截取的结果不是你敲键盘的那个过程,比如如果是监控内存,那么无论你用鼠标进行怎样的重定位,内存监控都不管,它只去截取你最终选择确定时输入的那个结果。
网友: 灰鸽子在Vista上运行怎么样? 浮动栈技术是否能有效防止灰鸽子?
李铁军: Vista下灰鸽子是可以运行的,其中有一部分功能不执行。灰鸽子执行的时候服务端会调用用户帐户设置。
李剑: Vista是新出的,还没有普及。有些东西比如Vista加密部分的东西没有跟中国政府透露,中国政府还没有让它普遍销售。它的一些漏洞、方法没有被发觉出来,普通用户大多数还是WIN2000和XP。
张晓兵: 当一个新的操作系统出现以后对反病毒厂商要求第一时间兼容它,做出适合它的版本。对于一个有经济目的的灰鸽子组织来说,他们是没必要这样的,他们是根据自己的用户群判断下一步做什么的。他们的用户群都是WIN2000、XP就没有必要在这么短时间推Vista版本。
何公道: 都是利益最大化。
李剑: 这些人做这些事情都是以利益为主,怎样做利益最大就怎么做。灰鸽子病毒有人统计是四种传播方式,最厉害的是网页。第二种是邮件传播。第三种是即时聊天工具、QQ、MSN等等。最后一种就是非法软件。可能你在网上下一个游戏,在不知名小网站下这些游戏等等软件的时候带来的灰鸽子病毒。我们知道了这些传播途径之后防止灰鸽子病毒也要从这四方面入手。
所以建议网友以后要下一些驱动程序、软件的时候最好到正规的软件,比如华军软件园等,不要到小网站,不知名的网站下载。
主持人: 如果大家都去那儿的话,木马黑客就会注意到大网站了。
李剑: 大网站是有一套机制的,不是随便的软件就能放上去的。
主持人: 刚才说我们键盘敲击的结果会被灰鸽子截获,这个目前能采取什么措施呢?
何公道: 包括键盘的截获,包括网络传输,每一步我们都做了相关的措施,是设了好几道门槛,都通过了才会受到损失。
李剑: 对于内存保护我深有感触,江民做的软件是你安装软件之前它就已经扫描了,这个用起来还是比较好的。
网友: 听说灰鸽子对某些防病毒厂家的网站进行了DDos攻击,这个事件两位有什么看法?
李剑: 对防病毒软件攻击可能有一些报复心理等等。DDos攻击是非常古老非常有效的攻击方式。一般来说对于DDos攻击以前都是通过网络层的,现在出现了应用层攻击,这很难防的。应用层攻击防起来还是比较困难的,所以这些人带一些报复的心理恶作剧一下,但是我们还是有办法防治它的。
主持人: 从晓兵的观点来看,不知道您前一阵听说过没有灰鸽子作者除了对金山防病毒软件进行攻击之外还发出了威胁电话,像李工、何工是不是危险更大一些?
张晓兵: 因为安天实验室主要以技术为主,在媒体上不是很活跃,主要是做一些比较好的信息安全技术,比较好的病毒防治机制,能最大化的阻止病毒的爆发。
所以说我们一般不太关注于病毒作者,比如我们在研究过程中发现可以通过心理学的方法、社会工程学的方法发现同源代码分析,可以通过这种方法分析出哪些病毒是出于同一个作者的?我们的分析仅此而已,不会再分析这个作者,即使我们知道他是哪所学校的,有电话这样的信息我们也不会追查下去。因为对我们来讲不会关注这个团体,我们主要还是关注他们做的病毒和木马,有没有新的技术和动向出来,我们把它处理掉。
另外攻击还是跟国家立法相结合,比如病毒我们有一个《计算机安全管理条例》它对病毒有明显的制裁办法,对网络木马、后门来说没有一个合理的解决手段。
李剑 : 处理这种威胁很简单,因为病毒国家是立法的,如果有威胁就可以报警。关键问题在哪儿呢?就是法律不健全。病毒说了制造、传播是犯罪的,但是木马呢?恶意软件的,都属于病毒的范围,但是你不能把人抓起来了。法律并不是能解决所有问题的,我们在互联网协会的时候请了北京非常有名的法律界人士、一中院等讨论关于软件和立法的一些事情,如果有网络威胁我们可以通过正常手段解决。关键是有些东西没有立法,这此两会期间我们的一些委员已经提上去了,在操作这件事情。
网友: 灰鸽子开发者宣布停止下载程序,这个可信吗?
何公道: 暂时可信。长期如果有很大的利益在里面的话完全的放弃估计是很困难的事情。
网友: 请问金山专家,之所以今天非常积极的声讨灰鸽子,跟金山网站被黑有关吗?
李铁军: 是我们先说打击灰鸽子,而不是我们的网站先被黑。我们想过他们肯定会采取一些其它的非法手段,肯定会采取黑客攻击的手段对付我们的。
网友: 我要用什么软件就可以保证不中灰鸽子?
李剑: 从安全角度来讲,怎么样才能更安全?我个人认为是多层次的,并不是单层次的。我个人认为防病毒或者防恶意软件是多层次的。比如安全上有一点是三分技术、七分管理。我们在操作系统里只开几个端口就可以了。比如我开80、25、50、21这四个端口足够了。防病毒、防木马、防恶意软件都是多层次的,并不是说单独的杀毒工具能做到的。
张晓兵: 对于这位网友的问题最简单的方法是直接在灰鸽子工作室下载一个灰鸽子查杀,在系统里面所有的灰鸽子卸掉补丁打上,上网的时候收发邮件注意一下应该不会中灰鸽子病毒。
主持人: 灰鸽子工作室提供的卸载工具可信性多大?
何公道: 网上出现的灰鸽子很多都是改进版本,会出什么问题,谁也不能敢出来打保票。
李铁军: 我试过,有一种情况是根本检查不到,就是插入正常程序的进程,我远程连接中了灰鸽子的机器,我在远程程序上启动扫描的结果是没有发现。
张晓兵: 所以说第二步要用各家厂商做的专杀工具。
主持人: 熊猫烧香病毒作者自己出了一款专杀工具?
张晓兵: 对于病毒作者出专杀工具,要看作者出于什么目的。如果是没有想到自己的病毒造成这么大的侵害,他想平息的话他做的专杀工具是可信的。但是如果说有一些出于利益驱动的这些木马、或者后门出现的话做专杀的情况因为目的不纯,所以结果不可信了。用户应该谨慎的选择病毒作者自己出的工具。
主持人: 其实重心还要放到正版的杀毒软件上。同时要注意自己的一些保护措施。
主持人: 如果说我的机器中了灰鸽子,发现了,做的第一件事是什么?
李铁军: 第一件事把网线拔了。
李剑: 从物理层看,因为你发现的时候人家正在盗取你的东西呢,所以我们把网线先拔掉,再做其它的。
主持人: 以前很多网友说第一件事是先启动杀毒软件,但现在我在这里要告诉各位在线观看的网友,一定要先把网线拔掉,然后再做其它事情。
何公道: 如果中了灰鸽子,清除掉是最重要的,你中毒的期间输入的帐号、密码一定要改一下。
李剑: 这就涉及到管理的问题。比如重要的密码等等都是要定期更换的。我做了很多计算机安全的培训,一直讲三分技术、七分管理。
李铁军: 如果发现网络银行帐号突然丢了,这种情况建议不要轻易把病毒杀掉,灰鸽子可以分析服务段程序,如果这时候灰鸽子还在的话可以找到破案的线索的。这时候如果杀掉证据就没了。
网友: 灰鸽子从技术水平上看在国际上能排到前一百名吗?
李铁军: 就远程软件控制监控来说加起来我估计也没有一百个。
主持人: 是不是可以理解为现在的灰鸽子已经具有了世界水平,但是不是最先进的技术。
何公道: 不能说一个东西做的好就是技术很领先。技术领先和产品表现形式是不相关的。
李剑: 根据它的危害来看。二月份全国报的十分之一都是灰鸽子病毒。熊猫烧香病毒可以看出来,感染之后能知道,灰鸽子病毒看不出来。为什么灰鸽子病毒有这么大的危害呢?是因为我们感染病毒发现不了。
网友: 病毒、恶意软件和木马怎么区分?
李剑: 病毒国家有专门的规定,有法律的,而且非常明确的恶意软件也是有定义的,这个网上能看到。关键是木马很少有官方定义。木马就相当于远程控制软件,木马起源于特洛伊木马,跟这个是一样的。
网友: 如果用FireFox、Opera这样的非IE核心的浏览器,中招的机率会小些吗?
李铁军: 会的。不过,各种浏览器都是存在安全性的漏洞。
李剑: 因为用的少,可能比IE安全得多。用的人少所以针对这种浏览器研究的可能也就少。所以首先要知道漏洞在哪儿才能攻击你,FireFox因为现在用的人少,所以相对来讲还是比较安全的。
李铁军: 在Unix、Linux下也会有。
网友: 请问各位专家你们自己是否也有中毒或者中木马的经历呢?
李剑: 当然有了。
何公道: 我们的电脑虽然装了杀毒软件但是监控什么的都是关掉的,所以这也时常会出现一些漏洞的。比如小孩没事上网查一些资料等等,或者下一个软件,我有一天回家我就发现我的电脑中毒了,我觉得不可能,结果是因为小孩偷用了电脑。
李剑: 我们研究安全的人不是中不中病毒,可能我们的机器上还养着很多病毒呢,就是要研究它。
网友: 如果想手动清除灰鸽子应该使用什么工具?
李铁军: 主要看有没有隐藏的进程,普通用户肯定分不清楚,应该比较一下。可以把有问题电脑的“Windows任务管理器”里的进程和正常电脑“Windows任务管理器”里的进程比较以下,这就可以看出来了。 (这个地方速记出错了,记得当时说的是拿任务管理器查看的进程列表和冰刃的进程列表做比较)
张晓兵: 主要从注入到用户的途径来看,第二个是从注册表看,再一个从系统目录下的文件来看。
主持人: 我们手动清除灰鸽子的时候有哪些需要注意的事项?
何公道: 主要是找到隐藏文件。
李铁军: 做任何杀毒之前还是提醒网友网线先拔了,然后再做相应的处理。查进程、端口等网上有很多相应的文件。
主持人: 请四位专家,各用三句话总结一下,这次灰鸽子引起大家的关注,除了杀毒厂商提出的要注意它的危害之外还有哪些应该提醒我们大家更应该注意灰鸽子?
李剑: 灰鸽子值得我们关注,这里面牵扯到很大的利益问题。无论他做任何事情都是以利益为目标的,之所以有利益是因为这些利益是因为我们网民受到伤害而来的,所以我们要更加关注。
李铁军: 目前对灰鸽子的现象最值得我们关注的是互联网安全方面的立法和监管应该尽快完善。
何公道: 灰鸽子更是一个社会问题。即便没有灰鸽子还会有别的“鸽子”出来。
张晓兵: 对于灰鸽子第一点,它是一个后门跟传统的木马定义是有出入的。第二个它是一个社会问题,需要社会的广泛关注。第三,灰鸽子工作室本身声明自己是网络管理软件,事实上用在正规的途径它也是一个远程管理软件这样一个东西,但是几乎没有哪个网管利用灰鸽子管理单位网络,这是一个事实。第二,它跟正常使用的管理软件有哪些区别呢?第一个区别就是它没有一个可显示的图标,在任务栏上没有显示,它做了各种手段隐藏自己。第三,它没有一个可以配置的服务器端。传统的管理软件在用户客户端装的是客户端软件,是有配置的,灰鸽子在用户客户端装的是服务器端,没有任何界面。用户在远程可以被它控制,用户的机器上不存在可配置性,这都说明它不是一个正常的远程管理软件。这是我们应该特别注意的。
主持人: 四位专家非常全面的为我们解读了灰鸽子。我最后做一个补充跟各位网友说两句话,我们首先要充分相信厂商给我们提供的任何防木马以及防病毒的软件与技术。另外我们要从主观上防治这些恶意软件、木马、病毒的入侵。最后谢谢各位专家的到来,本次聊天到此结束!