肉雞電腦指中了木馬,或者留了後門,可以被遠程操控的機器,現在許多人把有WEBSHELL 許可權的機器也叫肉雞。
基本介紹
- 中文名:肉雞電腦
- 闡述:中了木馬的電腦
- 類別:相關辭彙
- 相關:MSN機器人病毒
起源,中標,自救,
起源
肉雞不是吃的那種,是中了木馬,或者留了後門,可以被遠程操控的機器,現在許多人把有WEBSHELL 許可權的機器也叫肉雞。誰都不希望自己的電腦被他人控制,但是很多人的電腦是幾乎不設防的,很容易被遠程攻擊者完全控制。你的電腦就因此成為別人砧板上的肉,別人想怎么吃就怎么吃,肉雞(機)一名由此而來。
MSN機器人病毒再生新變種,在網際網路上大量發展可被黑客控制的“肉雞電腦”。
MSN機器人病毒再生新變種(Worm.MsnBot.aq),該變種的隱蔽性更強,可通過多種即時聊天工具進行傳播,同時將用戶電腦變成可被黑客隨時利用的“肉雞”。
同時,成千上萬台被病毒感染的電腦則被黑客集中操控,而用戶毫不知情,仿佛沒有自主意識的殭屍一般。這樣的殭屍網路一旦在統一號令下激活,同時對網路中的某一個節點發動攻擊,不管是網上竊密還是惡意破壞,能量都很可怕。
不要輕易通過MSN接收和運行陌生檔案及打開對方發來的網址;不要在任何非MSN官方網站提交MSN帳號信息。
中標
注意以下幾種基本的情況:
1:QQ、MSN的異常登錄提醒 (系統提示上一次的登錄IP不符)
2:網路遊戲登錄時發現裝備丟失或與上次下線時的位置不符,甚至用正確的密碼無法登錄。
3:有時會突然發現你的滑鼠不聽使喚,在你不動滑鼠的時候,滑鼠也會移動,並且還會點擊有關按鈕進行操作。
4:正常上網時,突然感覺很慢,硬碟燈在閃爍,就象你平時在COPY檔案。
5:當你準備使用攝像頭時,系統提示,該設備正在使用中。
6:在你沒有使用網路資源時,你發現網卡燈在不停閃爍。如果你設定為連線後顯示狀態,你還會發現螢幕右下角的網卡圖示在閃。
7:服務列隊中出可疑程服務。
8:寬頻連線的用戶在硬體打開後未連線時收到不正常數據包。(可能有程式後台連線)
9:防火牆失去對一些連線埠的控制。
10:上網過程中計算機重啟。
11:有些程式如防毒軟體防火牆卸載時出現閃屏(卸載界面一閃而過,然後報告完成。)
12:一些用戶信任並經常使用的程式(QQ`防毒)卸載後。目錄文仍然存在,刪除後自動生成。
13:電腦運行過程中或者開機的時候彈出莫名其妙的對話框
以上現象,基本是主觀感覺,並不十分準確,但需要提醒您注意。
接下來,我們可以藉助一些軟體來觀察網路活動情況,以檢查系統是否被入侵。
1.注意檢查防火牆軟體的工作狀態
比如金山網鏢。在網路狀態頁,會顯示當前正在活動的網路連線,仔細查看相關連線。如果發現自己根本沒有使用的軟體在連線到遠程計算機,就要小心了。
2.推薦使用tcpview,可以非常清晰的查看當前網路的活動狀態。
一般的木馬連線,是可以通過這個工具查看到結果的。
這裡說一般的木馬連線,是區別於某些精心構造的rootkit木馬採用更高明的隱藏技術,不易被發現的情況。
3.使用金山清理專家進行線上診斷,特別注意全面診斷的進程項
清理專家會對每一項進行安全評估,當遇到未知項時,需要特別小心。
4.清理專家百寶箱的進程管理器
可以查找可疑檔案,幫你簡單的檢查危險程式所在
如何避免自己的電腦成為“肉雞”
1.關閉高危連線埠:
第一步,點擊“開始”選單/設定/控制臺/管理工具,雙擊打開“本地安全策略”,選中“IP 安全策略,在本地計算機”,在右邊窗格的空白位置右擊滑鼠,彈出快捷選單,選擇“創建 IP 安全策略”,於是彈出一個嚮導。在嚮導中點擊“下一步”按鈕,為新的安全策略命名;再按“下一步”,則顯示“安全通信請求”畫面,在畫面上把“激活默認相應規則”左邊的鉤去掉,點擊“完成”按鈕就創建了一個新的IP 安全策略。
第二步,右擊該IP安全策略,在“屬性”對話框中,把“使用添加嚮導”左邊的鉤去掉,然後單擊“添加”按鈕添加新的規則,隨後彈出“新規則屬性”對話框,在畫面上點擊“添加”按鈕,彈出IP篩選器列表視窗;在列表中,首先把“使用添加嚮導”左邊的鉤去掉,然後再點擊右邊的“添加”按鈕添加新的篩選器。
第三步,進入“篩選器屬性”對話框,首先看到的是定址,源地址選“任何 IP 地址”,目標地址選“我的 IP 地址”;點擊“協定”選項卡,在“選擇協定類型”的下拉列表中選擇“TCP”,然後在“到此連線埠”下的文本框中輸入“135”,點擊“確定”按鈕(如左圖),這樣就添加了一個禁止 TCP 135(RPC)連線埠的篩選器,它可以防止外界通過135連線埠連上你的電腦。
點擊“確定”後回到篩選器列表的對話框,可以看到已經添加了一條策略,重複以上步驟繼續添加 TCP 137、139、445、593 連線埠和 UDP 135、139、445 連線埠,為它們建立相應的篩選器。
重複以上步驟添加TCP 1025、2745、3127、6129、3389 連線埠的禁止策略,建立好上述連線埠的篩選器,最後點擊“確定”按鈕。
第四步,在“新規則屬性”對話框中,選擇“新 IP 篩選器列表”,然後點擊其左邊的圓圈上加一個點,表示已經激活,最後點擊“篩選器操作”選項卡。在“篩選器操作”選項卡中,把“使用添加嚮導”左邊的鉤去掉,點擊“添加”按鈕,添加“阻止”操作(右圖):在“新篩選器操作屬性”的“安全措施”選項卡中,選擇“阻止”,然後點擊“確定”按鈕。
第五步,進入“新規則屬性”對話框,點擊“新篩選器操作”,
其左邊的圓圈會加了一個點,表示已經激活,點擊“關閉”按鈕,關閉對話框;最後回到“新IP安全策略屬性”對話框,在“新的IP篩選器列表”左邊打鉤,按“確定”按鈕關閉對話框。在“本地安全策略”視窗,用滑鼠右擊新添加的 IP 安全策略,然後選擇“指派”。
重新啟動後,電腦中上述網路連線埠就被關閉了,病毒和黑客再也不能連上這些連線埠,從而保護了你的電腦。
2.及時打補丁 即升級防毒軟體
肉雞捕獵者一般都是用“灰鴿子”病毒操控你的電腦,建議用灰鴿子專殺軟體殺除病毒。
3.經常檢查系統
經常檢查自己計算機上的防毒軟體,防火牆的目錄,服務,註冊表等相關項。
黑客經常利用用戶對它們的信任將木馬隱藏或植入這些程式。
警惕出現在這些目錄里的系統屬性的DLL。(可能被用來dll劫持)
警惕出現在磁碟根的pagefile.sys.(該檔案本是虛擬頁面交換檔案。也可被用來隱藏檔案。要檢查系統的頁面檔案的盤符是否和它們對應)
1:QQ、MSN的異常登錄提醒 (系統提示上一次的登錄IP不符)
2:網路遊戲登錄時發現裝備丟失或與上次下線時的位置不符,甚至用正確的密碼無法登錄。
3:有時會突然發現你的滑鼠不聽使喚,在你不動滑鼠的時候,滑鼠也會移動,並且還會點擊有關按鈕進行操作。
4:正常上網時,突然感覺很慢,硬碟燈在閃爍,就象你平時在COPY檔案。
5:當你準備使用攝像頭時,系統提示,該設備正在使用中。
6:在你沒有使用網路資源時,你發現網卡燈在不停閃爍。如果你設定為連線後顯示狀態,你還會發現螢幕右下角的網卡圖示在閃。
7:服務列隊中出可疑程服務。
8:寬頻連線的用戶在硬體打開後未連線時收到不正常數據包。(可能有程式後台連線)
9:防火牆失去對一些連線埠的控制。
10:上網過程中計算機重啟。
11:有些程式如防毒軟體防火牆卸載時出現閃屏(卸載界面一閃而過,然後報告完成。)
12:一些用戶信任並經常使用的程式(QQ`防毒)卸載後。目錄文仍然存在,刪除後自動生成。
13:電腦運行過程中或者開機的時候彈出莫名其妙的對話框
以上現象,基本是主觀感覺,並不十分準確,但需要提醒您注意。
接下來,我們可以藉助一些軟體來觀察網路活動情況,以檢查系統是否被入侵。
1.注意檢查防火牆軟體的工作狀態
比如金山網鏢。在網路狀態頁,會顯示當前正在活動的網路連線,仔細查看相關連線。如果發現自己根本沒有使用的軟體在連線到遠程計算機,就要小心了。
2.推薦使用tcpview,可以非常清晰的查看當前網路的活動狀態。
一般的木馬連線,是可以通過這個工具查看到結果的。
這裡說一般的木馬連線,是區別於某些精心構造的rootkit木馬採用更高明的隱藏技術,不易被發現的情況。
3.使用金山清理專家進行線上診斷,特別注意全面診斷的進程項
清理專家會對每一項進行安全評估,當遇到未知項時,需要特別小心。
4.清理專家百寶箱的進程管理器
可以查找可疑檔案,幫你簡單的檢查危險程式所在
如何避免自己的電腦成為“肉雞”
1.關閉高危連線埠:
第一步,點擊“開始”選單/設定/控制臺/管理工具,雙擊打開“本地安全策略”,選中“IP 安全策略,在本地計算機”,在右邊窗格的空白位置右擊滑鼠,彈出快捷選單,選擇“創建 IP 安全策略”,於是彈出一個嚮導。在嚮導中點擊“下一步”按鈕,為新的安全策略命名;再按“下一步”,則顯示“安全通信請求”畫面,在畫面上把“激活默認相應規則”左邊的鉤去掉,點擊“完成”按鈕就創建了一個新的IP 安全策略。
第二步,右擊該IP安全策略,在“屬性”對話框中,把“使用添加嚮導”左邊的鉤去掉,然後單擊“添加”按鈕添加新的規則,隨後彈出“新規則屬性”對話框,在畫面上點擊“添加”按鈕,彈出IP篩選器列表視窗;在列表中,首先把“使用添加嚮導”左邊的鉤去掉,然後再點擊右邊的“添加”按鈕添加新的篩選器。
第三步,進入“篩選器屬性”對話框,首先看到的是定址,源地址選“任何 IP 地址”,目標地址選“我的 IP 地址”;點擊“協定”選項卡,在“選擇協定類型”的下拉列表中選擇“TCP”,然後在“到此連線埠”下的文本框中輸入“135”,點擊“確定”按鈕(如左圖),這樣就添加了一個禁止 TCP 135(RPC)連線埠的篩選器,它可以防止外界通過135連線埠連上你的電腦。
點擊“確定”後回到篩選器列表的對話框,可以看到已經添加了一條策略,重複以上步驟繼續添加 TCP 137、139、445、593 連線埠和 UDP 135、139、445 連線埠,為它們建立相應的篩選器。
重複以上步驟添加TCP 1025、2745、3127、6129、3389 連線埠的禁止策略,建立好上述連線埠的篩選器,最後點擊“確定”按鈕。
第四步,在“新規則屬性”對話框中,選擇“新 IP 篩選器列表”,然後點擊其左邊的圓圈上加一個點,表示已經激活,最後點擊“篩選器操作”選項卡。在“篩選器操作”選項卡中,把“使用添加嚮導”左邊的鉤去掉,點擊“添加”按鈕,添加“阻止”操作(右圖):在“新篩選器操作屬性”的“安全措施”選項卡中,選擇“阻止”,然後點擊“確定”按鈕。
第五步,進入“新規則屬性”對話框,點擊“新篩選器操作”,
其左邊的圓圈會加了一個點,表示已經激活,點擊“關閉”按鈕,關閉對話框;最後回到“新IP安全策略屬性”對話框,在“新的IP篩選器列表”左邊打鉤,按“確定”按鈕關閉對話框。在“本地安全策略”視窗,用滑鼠右擊新添加的 IP 安全策略,然後選擇“指派”。
重新啟動後,電腦中上述網路連線埠就被關閉了,病毒和黑客再也不能連上這些連線埠,從而保護了你的電腦。
2.及時打補丁 即升級防毒軟體
肉雞捕獵者一般都是用“灰鴿子”病毒操控你的電腦,建議用灰鴿子專殺軟體殺除病毒。
3.經常檢查系統
經常檢查自己計算機上的防毒軟體,防火牆的目錄,服務,註冊表等相關項。
黑客經常利用用戶對它們的信任將木馬隱藏或植入這些程式。
警惕出現在這些目錄里的系統屬性的DLL。(可能被用來dll劫持)
警惕出現在磁碟根的pagefile.sys.(該檔案本是虛擬頁面交換檔案。也可被用來隱藏檔案。要檢查系統的頁面檔案的盤符是否和它們對應)
自救
一、正在上網的用戶,發現異常應首先馬上下線
如果你發現IE經常詢問是你是否運行某些ActiveX控制項,或是生成莫名其妙的檔案、詢問調試腳本什麼的,一定要警惕了,你可能已經中招了。典型的上網被入侵有兩種情況:
一是瀏覽某些帶惡意代碼的網頁時候被修改了瀏覽器的默認主頁或是標題,這算是輕的;還有就是遇到可以格式化硬碟或是令你的Windows不斷打開視窗,直到耗盡資源當機——這種情況惡劣得多,你未保存和已經放在硬碟上的數據都可能會受到部分或全部的損失。
二是潛在的木馬發作,或是蠕蟲類病毒發作,讓你的機器不斷地向外界傳送你的隱私,或是利用你的名義和郵件地址傳送垃圾,進一步傳播病毒;還有就是黑客的手工入侵,窺探你的隱私或是刪除破壞你的檔案。
自救措施:馬上下線,這樣在自己的損失降低的同時,也避免了病毒向更多的線上電腦傳播。請先不要馬上重新啟動系統或是關機,進一步的處理措施請參看後文。
二、中毒後,應馬上備份、轉移文檔和郵件等
中毒後運行防毒軟體防毒是理所當然的了,但為了防止防毒軟體誤殺或是刪掉你還未處理完的文檔和重要的郵件,你應該首先將它們備份到其他儲存媒體上。有些長檔案名稱的檔案和未處理的郵件要求在Windows下備份,所以上文筆者建議你先不要退出Windows,因為病毒一旦發作,可能就不能進入Windows了。
不管這些檔案是否帶毒,你都應該備份,用標籤紙標記為“待查”即可。因為有些病毒是專門針對某個防毒軟體設計的,一運行就會破壞其他檔案,所以先備份是防患於未然的措施。等你清除完硬碟內的病毒後,再來慢慢分析處理這些額外備份的檔案較為妥善。
三、需要在Windows下先運行一下殺CIH的軟體(即使是帶毒環境)
如果是發現了CIH病毒,要注意不能完全按平時報刊和手冊建議的措施,即先關機、冷啟動後用系統盤來引導再防毒,而應在帶毒的環境下也運行一次專殺CIH的軟體。這樣做,防毒軟體可能會報告某些檔案受讀防寫無法清理,但帶毒運行的實際目的不在於完全清除病毒,而是在於把CIH下次開機時候的破壞減到最低,以防它在再次開機時破壞主機板的BIOS硬體,導致黑屏,讓你下一步的防毒工作無法進行。
四、需要乾淨的DOS啟動盤和DOS下面的防毒軟體
到現在,就應該按很多防毒軟體的標準手冊去按部就班地做。即關機後冷啟動,用一張乾淨的DOS啟動盤引導;另外由於中毒後可能Windows已經被破壞了部分關鍵檔案,會頻繁地報告非法操作,所以Windows下的防毒軟體可能會無法運行。所以請你也準備一個DOS下面的防毒軟體以防萬一。
即使能在Windows下運行防毒軟體,也請用兩種以上工具交叉清理。在多數情況下Windows可能要重裝,因為病毒會破壞掉一部分檔案讓系統變慢或出現頻繁的非法操作。比如即使殺了CIH,微軟的Outlook郵件程式也是反應較慢的。建議不要對某種防毒軟體帶偏見,由於開發時候側重點不同、使用的防毒引擎不同,各種防毒軟體都是有自己的長處和短處的,交叉使用效果較理想。
五、如果有Ghost和分區表、引導區的備份,用之來恢復一次最保險
如果你在平時用Ghost備份做了Windows的,用之來鏡像一次,得到的作業系統是最保險的。這樣連潛在的未殺光的木馬程式也順便清理了。當然,這要求你的Ghost備份是絕對可靠的。要是作Ghost的時候把木馬也“備份”了就後患無窮了。
六、再次恢復系統後,更改你的網路相關密碼
包括登錄網路的用戶名、密碼,信箱的密碼和QQ的密碼等,防止黑客用上次入侵過程中得到的密碼進入你的系統。另外因為很多蠕蟲病毒發作會向外隨機傳送你的信息,所以及時地更改是必要的。
如果你發現IE經常詢問是你是否運行某些ActiveX控制項,或是生成莫名其妙的檔案、詢問調試腳本什麼的,一定要警惕了,你可能已經中招了。典型的上網被入侵有兩種情況:
一是瀏覽某些帶惡意代碼的網頁時候被修改了瀏覽器的默認主頁或是標題,這算是輕的;還有就是遇到可以格式化硬碟或是令你的Windows不斷打開視窗,直到耗盡資源當機——這種情況惡劣得多,你未保存和已經放在硬碟上的數據都可能會受到部分或全部的損失。
二是潛在的木馬發作,或是蠕蟲類病毒發作,讓你的機器不斷地向外界傳送你的隱私,或是利用你的名義和郵件地址傳送垃圾,進一步傳播病毒;還有就是黑客的手工入侵,窺探你的隱私或是刪除破壞你的檔案。
自救措施:馬上下線,這樣在自己的損失降低的同時,也避免了病毒向更多的線上電腦傳播。請先不要馬上重新啟動系統或是關機,進一步的處理措施請參看後文。
二、中毒後,應馬上備份、轉移文檔和郵件等
中毒後運行防毒軟體防毒是理所當然的了,但為了防止防毒軟體誤殺或是刪掉你還未處理完的文檔和重要的郵件,你應該首先將它們備份到其他儲存媒體上。有些長檔案名稱的檔案和未處理的郵件要求在Windows下備份,所以上文筆者建議你先不要退出Windows,因為病毒一旦發作,可能就不能進入Windows了。
不管這些檔案是否帶毒,你都應該備份,用標籤紙標記為“待查”即可。因為有些病毒是專門針對某個防毒軟體設計的,一運行就會破壞其他檔案,所以先備份是防患於未然的措施。等你清除完硬碟內的病毒後,再來慢慢分析處理這些額外備份的檔案較為妥善。
三、需要在Windows下先運行一下殺CIH的軟體(即使是帶毒環境)
如果是發現了CIH病毒,要注意不能完全按平時報刊和手冊建議的措施,即先關機、冷啟動後用系統盤來引導再防毒,而應在帶毒的環境下也運行一次專殺CIH的軟體。這樣做,防毒軟體可能會報告某些檔案受讀防寫無法清理,但帶毒運行的實際目的不在於完全清除病毒,而是在於把CIH下次開機時候的破壞減到最低,以防它在再次開機時破壞主機板的BIOS硬體,導致黑屏,讓你下一步的防毒工作無法進行。
四、需要乾淨的DOS啟動盤和DOS下面的防毒軟體
到現在,就應該按很多防毒軟體的標準手冊去按部就班地做。即關機後冷啟動,用一張乾淨的DOS啟動盤引導;另外由於中毒後可能Windows已經被破壞了部分關鍵檔案,會頻繁地報告非法操作,所以Windows下的防毒軟體可能會無法運行。所以請你也準備一個DOS下面的防毒軟體以防萬一。
即使能在Windows下運行防毒軟體,也請用兩種以上工具交叉清理。在多數情況下Windows可能要重裝,因為病毒會破壞掉一部分檔案讓系統變慢或出現頻繁的非法操作。比如即使殺了CIH,微軟的Outlook郵件程式也是反應較慢的。建議不要對某種防毒軟體帶偏見,由於開發時候側重點不同、使用的防毒引擎不同,各種防毒軟體都是有自己的長處和短處的,交叉使用效果較理想。
五、如果有Ghost和分區表、引導區的備份,用之來恢復一次最保險
如果你在平時用Ghost備份做了Windows的,用之來鏡像一次,得到的作業系統是最保險的。這樣連潛在的未殺光的木馬程式也順便清理了。當然,這要求你的Ghost備份是絕對可靠的。要是作Ghost的時候把木馬也“備份”了就後患無窮了。
六、再次恢復系統後,更改你的網路相關密碼
包括登錄網路的用戶名、密碼,信箱的密碼和QQ的密碼等,防止黑客用上次入侵過程中得到的密碼進入你的系統。另外因為很多蠕蟲病毒發作會向外隨機傳送你的信息,所以及時地更改是必要的。
