[专题]“灰鸽子”病毒代码的特点和关键技术解析

[专]“灰鸽子”病毒代码的特点和关键技术解析 “灰鸽子”病毒代码的特点和关键技术解析 一、“灰鸽子”病毒概述 灰鸽子是国内一款著名后门，比起前辈冰河、黑洞来,灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。 灰鸽子客户端和服务端都是采用Delphi编写，黑客利用客户端程序配置出服务端程序。服务端对客户端连接方式有多种，使得处于各种网络环境的用户都可能中毒，包括局域网用户(通过代理上网)、公网用户和ADSL拨号用户等。 灰鸽子英文名为W in32.Hack.Huigez，这个木马黑客工具大致于2001年出现在互联网，当时被判定为高危木马。灰鸽子病毒危害程度非常大，是熊猫烧香的10倍以上，灰鸽子病毒集中爆发，据推算，有2000万台电脑可能被控制，而黑客随之买卖控制权，月入上万元。 经过其作者不懈努力，该病毒从2004年起连续五年荣登国内10大病毒排行榜，至今已经衍生出超过10万个变种。 二、“灰鸽子”的关键技术 1.植入技术 灰鸽子植入是灰鸽子攻击目标系统最关键的一步，是后续攻击活动的基础。当前，灰鸽子的植入方法可以分为两大类，即被动植入和主动植入。被动植入是指通过人工干预方式才能将灰鸽子程序安装到目标系统中，植入过程必须依赖于受害用户的手工操作;而主动植入则是指主动攻击方法，是将灰鸽子程序通过程序自动安装到目标系统中，植入过程无需受害用户的操作。被动植入主要通过社会工程方法将灰鸽子程序伪装成合法的，以达到降低受害用户警觉性,诱骗用户的目的。 2.隐藏技术 灰鸽子设计者为了能逃避安全检测,就要设法隐藏灰鸽子的行为或痕迹，其主要技术目标就是将灰鸽子的本地活动行为、灰鸽子远程通信过程进行隐藏。 2.1本地行为活动隐藏 现在的操作系统支持LKM (Loadable KernelModules)功能，通过LKM可增加系统功能，而且不需要重新编译内核，就可以动态地加载，如Linux, Solaris和FreeBSD都支持LKM。灰鸽子设计者利用操作系统的LKM功能，通过替换或调整系统调用来实现木马程序的隐藏，常见的技术方法有:文件隐藏、进程隐藏和通信连接隐藏。 2.2远程通信隐藏 灰鸽子除了在远程目标端实现隐藏外，还必须实现远程通信的隐藏，包括通信内容和通 信方式的隐藏，只有这样才能增强灰鸽子的生存能力。在远程通信隐藏方面，灰鸽子用到的通信隐藏关键技术主要有:通信内容加密、通信端口复用和网络隐蔽通道。 2.3灰鸽子的存活性技术 灰鸽子的存活性取决于网络灰鸽子逃避安全监测的能力，一些高级灰鸽子常具有端口反向连接功能。反向端口技术是指有灰鸽子代理在目标系统主动连接外部网的远程灰鸽子控制端,以逃避防火墙的限制。 2.4自启动技术 灰鸽子自启动技术用于控制灰鸽子程序的启动。目前，一般将灰鸽子程序放在系统的启动目录中。在W indows系统中,灰鸽子的自启动设置在系统配置文件中，如win.in、i system. ini等中，或修改注册设置实现灰鸽子的自动启动，或把灰鸽子注册为系统服务，或把灰鸽子注入到系统服务程序中。在UNIX系统中，灰鸽子的自启动设置在ini,t inetd, cron等文件或目录中。 三、“灰鸽子”的运行原理 灰鸽子木马分两部分:客户端和服务端。黑客操纵着客户端，利用客户端配置生成出一个服务端程序。服务端文件的名字默认为G Server.exe，然后黑客通过各种渠道传播这个木马(俗称种木马或者开后门)。种木马的手段有很多，比如，黑客可以将它与一张图片绑定，通过QQ把木马传给你，诱骗你运行;也可以建立一个个人网页，诱骗你点击，利用IE漏洞把木马下载到你的机器上并运行;还可以将文件上传到某个软件下载站点，冒充成一个有趣的软件诱骗用户下载，G Server.exe运行后将自己拷贝到Windows目录下(98Pxp下为系统盘的windows目录,2kPNT下为系统盘的Winnt目录)，然后再从体内释放GServer.dll和G Server Hook.dll到windows目录下。G Server.exe、G Server.dll和G ServerHook.dll三个文件相互配合组成了灰鸽子服务端，有些灰鸽子会多释放出一个名为G ServerKey.dll的文件用来记录键盘操作。注意，G Server.exe这个名称并不固定，它是可以定制的，比如当定制服务端文件名为A.exe时，生成的文件就是A.exe、A.dll和A Hook.dll。Windows目录下的G Server.exe文件将自己注册成服务(98PXP系统写注册表启动项)，每次开机都能自动运行，运行后启动G Server.dll和GServer Hook.dll并自动退出。G Server.dll文件实现后门功能，与控制端客户端进行通信;GServer Hook.dll则通过拦截API调用来隐藏病毒。因此，中毒后，我们看不到病毒文件，也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同，G Server Hook.dll有时候附在Explorer.exe的进程空间中，有时候则是附在所有进程中。 参考文献 [1]黄小可. “灰鸽子”病毒的原来与防治. 安徽冶金科技职业学院学报，2009(10):60-61 [2]刘昉. “灰鸽子”上线原理及防范技术. 凯里学院学报，2009(12):96-100