金山反病毒专家坐客51CTO 教你清剿“灰鸽子”(1)

【51CTO.com 独家特稿】[系统公告]: 赵毅进入了聊天室
赵毅: 大家好！我们的访谈将在14：00进行。欢迎大家到时参加。在此之前，也欢迎大家提问，我们会在开始访谈之后向专家提问。
[系统公告]: 李铁军进入了聊天室
赵毅: 大家好！专家已经到了我们的聊天室。我们的访谈将在2分钟之后按时开始！
赵毅: 各位网友大家好，非常欢迎大家如期来到51CTO在线访谈。51CTO“在线访谈”系列活动已经举办了很多期，并取得了良好的效果。它逐渐成为广大网友了解IT行业与技术的一个窗口。
赵毅: 今天我们有幸邀请到了北京金山软件有限公司毒霸事业部反病毒专家做客51CTO，为大家解答灰鸽子的危害及查杀预防等问题。请您跟大家打一个招呼吧！
李铁军: 各位网友，大家好！
赵毅: 近日灰鸽子在互联网上越闹越凶，很多网友反映灰鸽子盗取他们的用户资料和信息，这让他们很头疼，也很无奈。因此，我们今天就灰鸽子的问题和朋友们进行深入探讨。我们今天主要讨论三个方面的问题：一是灰鸽子的发展历程，了解远程控制软件；二是揭露灰鸽子的真正危害；三是灰鸽子的查杀方法。
灰鸽子的由来
赵毅: 能否介绍一下灰鸽子的由来？
李铁军: 它不是新鲜事物，我们接到的第一个灰鸽子样本是2001年，当时用的最多的黑客工具是冰河，那是最有名的。
赵毅: 我知道冰河是一种远程控制软件。
李铁军: 冰河刚开始做出来的时候就想让它做远程控制工具，后来发现这个工具被人滥用，出现的后果很严重，后来作者出来一个卸载工具再也不开发了。
赵毅: 也就是说灰鸽子是模仿冰河的？
李铁军: 对。
赵毅: 它用什么编的呢？
李铁军: 用Delphi编的。 它当时是处于技术方面的目的，越做越像冰河，功能基本实现了，把一些工具原理做了一些调整。但它是一种反向链接。这一点和冰河有所不同。 冰河是由客户端链接的。灰鸽子和它不一样。
远程控制管理工具特点
赵毅: 能不能给大家介绍一下，远程控制管理工具有什么特点？
李铁军: 其实这种工具我们很容易找得到，我们自己的电脑上一般都带有远程桌面，另外大家都知道用QQ，里面有一个远程协助，MSN也都有。
赵毅: 这些都属于远程控制范畴？
李铁军: 对。它们在用的时候安全性考虑的特别好。比如远程桌面上，首先要知道那台机器的IP地址和域名，那边是人为的自动启动远程终端服务。
赵毅: 也就是说你必须知道对方的一些特定信息，才能通过远程方式连接？
李铁军: 对。另外你还必须拥有远程登录的权限。
赵毅: 灰鸽子跟这个有没有不同的地方？
李铁军: 上面这些特征灰鸽子都没有。它是由服务段自动去被控端，专业名词是服务端肉鸡自动去找黑客的机器。
赵毅: 也就是说它不需要知道对方的信息，它是自己去找？
李铁军: 对。然后掌握客户端的人就可以随意的在服务端的机器上做任何操作，中间不需要什么权限之类的。
如何坚定木马病毒与远程控制软件
赵毅: 我们都说灰鸽子是病毒，那么有一些人也宣称灰鸽子只是一种控制软件——可以说灰鸽子有一种远程控制功能，只不过被一些人用于一些非法目的和非法的手段来运用。那么怎么鉴别病毒木马和远程控制软件的区别呢？怎么鉴定它是一个病毒，还是远程控制工具呢？
李铁军: 如果从技术角度分辨，任何一种木马都可以看成一种远程控制，都具备服务端和客户端，结构大概是这样的。但是最根本上就看它们的功能设计和目的是做什么的。
李铁军: 你要看它的功能，就知道灰鸽子自称的远程控制软件和网管需要控制软件的差别，几乎所有的网管都不会选择这个工具来作为网络管理工具。就是说它的所谓工程设计都是非法目的去设计的，针对的用户群和目标都不一样。
赵毅: 那么，说灰鸽子是一种病毒，这种说法对吗？
李铁军: 要按照法律意义上的病毒定义是不对的，从技术角度它属于木马植入的程序。毕竟它和其他的蠕虫、病毒有一些区别，本身这个程序不能自动的进行复制和传播。
灰鸽子不同的版本
赵毅: 我们很多人接触灰鸽子，有哪些不同的版本？
李铁军: 每年都有不同大的版本更新。前期是功能方面的，稳定它的产品。在2005年的时候发现它有一个大的改进，它对图形处理引擎方面方面有一个突破。可以这样理解比如你用冰河客户端和服务端的时候，你发现客户端连接到服务端，如果连接时间长了，你就发现那一端有异常，感觉这个时候机器就会变慢。假如进行复制文件的操作，你就会发现服务端的机器性能下降很明显，但是对于这款软件来讲几乎是感觉不到的。
赵毅: 这是什么版本？
李铁军: 就是从2005年以后的灰鸽子版本。
赵毅: 现在最新的灰鸽子版本是什么？能不能给大家介绍一下最新版本的构架和一些运行的原理？
李铁军: 现在是2007版本。原理来讲还是服务端和客户端，它会把木马程序称为服务端，通过一定的方式比如网络下载，种到肉鸡的机器上，客户端就掌握在控制人的手中，服务端自动连接控制端的机器之后，所有它造成的危害并不是服务端形成的，潜在威胁都是由远程黑客来控制。远程的人想在这台机器做什么操作，这台机器就可能造成什么样的损失。
灰鸽子如何盗取QQ号码和银行帐号
赵毅: 大家都知道灰鸽子能够盗取QQ号码，能简单介绍一下原理吗？
李铁军: 如果中了灰鸽子之后，服务端可以像控制自己的机器一样控制客户端。比如它想偷你的QQ号，看看你的QQ下面的号码是什么，它会有一个键盘记录的窗口查看，它看你会不会登陆QQ。因为你的QQ号一般都显示在上面，他就知道下面就是号令了，你敲什么键他都会知道。
赵毅: 银行帐号呢？
李铁军: 银行帐号相对难一些，因为它使用了加密的网页。然后他直接盗取银行帐号有一些困难，因为他已经控制了你的机器，它会专门控制你的电脑，偷取信息。你想看什么他全都看得到。你的机器上没有任何东西可以隐藏给他。
赵毅: 我看到网友说有人在网上贩卖灰鸽子软件。您知道详细的情况吗？
李铁军: 这个软件一直宣称自己是远程控制软件，刚好在我们的目前法律法规没有一个界定。它干脆就在它的网站公开贩卖。然后它可以通过多种渠道销售它的软件：通过中国共享软件注册，其他的一些注册方式都可以在线直接购买。除此之外它也有自己的分销渠道，有很多聊天室、QQ群，还有一些论坛。
赵毅: 你觉得灰鸽子作为一个个人的软件，它已经运作到这种地步，你觉得它对我们的互联网最大的危害是什么？
李铁军: 首先一个木马商业化了，并且虽然它本身程序不能自动的进行传播，但仍然发现我们的用户感染率非常的高。就证明他们下面的分销网络和散播木马的网络非常健全。木马自己不会传，必须让人来传。仅仅是人来传播，它已经有足够的感染量，肉鸡数量非常多。这种情况我们来看就是一种很危险的情况。
李铁军: 然后可以轻易在互联网上找到各种各样的肉鸡，还有很多人教他，他接着带徒弟，教你这个软件怎么用。这种免费的教程网上随便都可以找得到，还也人想尝试一下，都可以直接在QQ群或者论坛、社区，有人说手把手教你用，保证实现这个功能，但是需要交学费，这样的情况挺多的。
赵毅: 我们可以看到灰鸽子对互联网的危害还是非常大的，如果不加以控制，肯定会一发不可收拾。
李铁军: 有可能是这种情况。因为有很多人想用灰鸽子控制别人电脑，有些人心理上总想控制别人，而不想被别人控制。所以尝试想做。