灰鴿子

病毒機理

病毒構成

配置出來的服務端文件文件名為G_Server.exe（這是默認的，當然也可以改變）。然後駭客利用一切辦法誘騙用戶運行G_Server.exe程序。

運行過程

G_Server.exe運行後将自己拷貝到Windows目錄下(98/xp下為系統盤的windows目錄，2k/NT下為系統盤的Winnt目錄)，然後再從體内釋放G_Server.dll和G_Server_Hook.dll到windows目錄下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三個文件相互配合組成了灰鴿子服務端，G_Server_Hook.dll負責隐藏灰鴿子。通過截獲進程的API調用隐藏灰鴿子的文件、服務的注冊表項，甚至是進程中的模塊名。截獲的函數主要是用來遍曆文件、遍曆注冊表項和遍曆進程模塊的一些函數。所以，有些時候用戶感覺中了毒，但仔細檢查卻又發現不了什麼異常。有些灰鴿子會多釋放出一個名為G_ServerKey.dll的文件用來記錄鍵盤操作。注意，G_Server.exe這個名稱并不固定，它是可以定制的，比如當定制服務端文件名為A.exe時，生成的文件就是A.exe、A.dll和A_Hook.dll。

Windows目錄下的G_Server.exe文件将自己注冊成服務（9X系統寫注冊表啟動項），每次開機都能自動運行，運行後啟動G_Server.dll和G_Server_Hook.dll并自動退出。G_Server.dll文件實現後門功能，與控制端客戶端進行通信；G_Server_Hook.dll則通過攔截API調用來隐藏病毒。因此，中毒後，看不到病毒文件，也看不到病毒注冊的服務項。随着灰鴿子服務端文件的設置不同，G_Server_Hook.dll有時候附在Explorer.exe的進程空間中，有時候則是附在所有進程中。

病毒發展

誕生期

自2001年，灰鴿子誕生之日起，就被反病毒專業人士判定為最具危險性的後門程序，并引發了安全領域的高度關注。2004年、2005年、2006年，灰鴿子木馬連續三年被國内各大殺毒廠商評選為年度十大病毒，灰鴿子也因此聲名大噪，逐步成為媒體以及網民關注的焦點。

灰鴿子自2001年出現至今，主要經曆了模仿期、飛速發展期以及全民駭客時代三大階段。

灰鴿子2011出現變種。服務端加殼之後僅有70kb，比葛軍的灰鴿子小了近10倍。國家多線程上線分組。可視化遠程開戶。可以躲過主流管理員的檢測方式，隐蔽性強。 

模仿期

“灰鴿子”是2001年出現的，采用Delphi編寫，最早并未以成品方式發布，更多的是以技術研究的姿态，采用了源碼共享的方式出現在互聯網，至今仍可搜索到“灰鴿子”早期版本的源碼。“灰鴿子”在出現的時候使用了當時讨論最多的“反彈端口”連接方式，用以躲避大多數個人網絡防火牆的攔截。“灰鴿子”在當時的名氣不及“冰河”，因此隻出現了少量的感染，但其開放源碼的方式也讓“灰鴿子”逐漸增大了傳播量。灰鴿子出現後以源碼開放，所以出現多種不同的版本，由于服務端都以隐藏方式啟動，就奠定了其惡意後門木馬的地位。

飛速發展期

2004和2005這兩年之間，灰鴿子逐步進入了成熟的狀态，由于源碼的釋放，大量變種在互聯網中衍生。

2004年灰鴿子總共發現了1000多變種，而在2005年，這個數字迅速上升到了3000多。“灰鴿子”最大的危害在于潛伏在用戶系統中，由于其使用的“反彈端口”原理，一些在局域網（企業網）中的用戶也受到了“灰鴿子”的侵害，使得受害用戶數大大提高，2004年的感染統計表現為103483人，而到2005年數字攀升到890321人。“灰鴿子”本身所具備的鍵盤記錄、屏幕捕捉、文件上傳下載和運行、攝像頭控制等功能，将使用戶沒任何隐私可言，更可怕的是服務端高度隐藏自己，是受害者無從得知感染此病毒。

傳播方式

灰鴿子自身并不具備傳播性，一般通過捆綁的方式進行傳播。灰鴿子傳播的四大途徑：網頁傳播、郵件傳播、IM聊天工具傳播、非法軟件傳播。

1．網頁傳播：病毒制作者将灰鴿子病毒植入網頁中，用戶浏覽即感染；

2．郵件傳播：灰鴿子被捆綁在郵件附件中進行傳播；聊天工具傳播：通過即時聊天工具傳播攜帶灰鴿子的網頁鍊接或文件。

3．非法軟件傳播：病毒制作者将灰鴿子病毒捆綁進各種非法軟件，用戶下載解壓安裝即感染。

清除預防

手工檢測

由于灰鴿子攔截了API調用，在正常模式下服務端程序文件和它注冊的服務項均被隐藏，也就是說你即使設置了“顯示所有隐藏文件”也看不到它們。此外，灰鴿子服務端的文件名也是可以自定義的，這都給手工檢測帶來了一定的困難。

但是，通過仔細觀察我們發現，對于灰鴿子的檢測仍然是有規律可循的。從上面的運行原理分析可以看出，無論自定義的服務器端文件名是什麼，一般都會在操作系統的安裝目錄下生成一個以“_hook.dll”結尾的文件。通過這一點，我們可以較為準确手工檢測出灰鴿子服務端。

由于正常模式下灰鴿子會隐藏自身，因此檢測灰鴿子的操作一定要在安全模式下進行。進入安全模式的方法是：啟動計算機，在系統進入Windows啟動畫面前，按下F8鍵(或者在啟動計算機時按住Ctrl鍵不放)，在出現的啟動選項菜單中，選擇“SafeMode”或“安全模式”。

1、由于灰鴿子的文件本身具有隐藏屬性，因此要設置Windows顯示所有文件。打開“我的電腦”，選擇菜單“工具”—》“文件夾選項”，點擊“查看”，取消“隐藏受保護的操作系統文件”前的對勾，并在“隐藏文件和文件夾”項中選擇“顯示所有文件和文件夾”，然後點擊“确定”。

2．打開Windows的“搜索文件”，文件名稱輸入“_hook.dll”，搜索位置選擇Windows的安裝目錄（默認98/xp為C:windows，2k/NT為C:Winnt）。

3．經過搜索，我們在Windows目錄（不包含子目錄）下發現了一個名為Game_Hook.dll的文件。

4．根據灰鴿子原理分析我們知道，如果Game_Hook.DLL是灰鴿子的文件，則在操作系統安裝目錄下還會有Game.exe和Game.dll文件。打開Windows目錄，果然有這兩個文件，同時還有一個用于記錄鍵盤操作的GameKey.dll文件。

手工清除

經過上面的分析，清除灰鴿子就很容易了。清除灰鴿子仍然要在安全模式下操作，主要有兩步：

1．清除灰鴿子的服務；

2．删除灰鴿子程序文件。

注意：為防止誤操作，清除前一定要做好備份。

（一）、清除灰鴿子的服務注意清除灰鴿子的服務一定要在注冊表裡完成，對注冊表不熟悉的網友請找熟悉的人幫忙操作，清除灰鴿子的服務一定要先備份注冊表，或者到純DOS下将注冊表文件更名，然後再去注冊表删除灰鴿子的服務。因為病毒會和EXE文件進行關聯

2000/XP系統：

1．打開注冊表編輯器（點擊“開始”－》“運行”，輸入“Regedit.exe”，确定。），打開HKEY_LOCAL_MACHINESYSTEMCurrentControlSetSerVIces注冊表項。

2．點擊菜單“編輯”－》“查找”，“查找目标”輸入“game.exe”，點擊确定，我們就可以找到灰鴿子的服務項（此例為Game_Server，每個人這個服務項名稱是不同的）。

3．删除整個Game_Server項。

98/me系統：在9X下，灰鴿子啟動項隻有一個，因此清除更為簡單。運行注冊表編輯器，打開HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun項，我們立即看到名為Game.exe的一項，将Game.exe項删除即可。

（二）、删除灰鴿子程序文件

删除灰鴿子程序文件非常簡單，隻需要在安全模式下删除Windows目錄下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件，然後重新啟動計算機。至此，灰鴿子VIP2005服務端已經被清除幹淨。

病毒預防

1．給系統安裝補丁程序。通過Windows Update安裝好系統補丁程序(關鍵更新、安全更新和Service pack)，其中MS04-011、MS04-012、MS04-013、MS03-001、MS03-007、MS03-049、MS04-032等都被病毒廣泛利用，是非常必要的補丁程序。

2．給系統管理員帳戶設置足夠複雜足夠強壯的密碼，最好能是10位以上，字母+數字+其它符号的組合；也可以禁用/删除一些不使用的帳戶。

3．經常更新殺毒軟件（病毒庫），設置允許的可設置為每天定時自動更新。安裝并合理使用網絡防火牆軟件，網絡防火牆在防病毒過程中也可以起到至關重要的作用，能有效地阻擋自來網絡的攻擊和病毒的入侵。部分盜版Windows用戶不能正常安裝補丁，這點也比較無奈，這部分用戶不妨通過使用網絡防火牆來進行一定防護。

4. 關閉一些不需要的服務，條件允許的可關閉沒有必要的共享，也包括C$、D$等管理共享。完全單機的用戶可直接關閉Server服務。

公告聲明

灰鴿子工作室于2003年初成立,定位于遠程控制、遠程管理、遠程監控軟件開發，主要産品為灰鴿子遠程控制系列軟件産品。灰鴿子工作室的軟件産品，均為商業化的遠程控制軟件，主要提供給網吧、企業及個人用戶進行電腦軟件管理使用；灰鴿子軟件已獲得國家頒布的計算機軟件着作權登記證書，受着作權法保護。

然而，我們痛心的看到，目前互聯網上出現了利用灰鴿子遠程管理軟件以及惡意破解和篡改灰鴿子遠程管理軟件為工具的不法行為，這些行為嚴重影響了灰鴿子遠程管理軟件的聲譽，同時也擾亂了網絡秩序。這完全違背了灰鴿子工作室的宗旨和開發灰鴿子遠程管理軟件的初衷。在此我們呼籲、勸告那些利用遠程控制技術進行非法行為的不法分子應立即停止此類非法活動。

應該表明的是，灰鴿子工作室自成立以來恪守國家法律和有關網絡管理的規定，具有高度的社會責任感。為有效制止不法分子非法利用灰鴿子遠程管理軟件從事危害社會的非法活動，在此，我們鄭重聲明，自即日起決定全面停止對灰鴿子遠程管理軟件的開發、更新和注冊，以實際行動和堅定的态度來抵制這種非法利用灰鴿子遠程管理軟件的不法行為，并誠懇接受廣大網民的監督。

灰鴿子工作室譴責那些非法利用遠程控制技術實現非法目的的行為，對于此類行為，灰鴿子工作室發布了灰鴿子服務端卸載程序，以便于廣大網民方便卸載那些被非法安裝于自己計算機的灰鴿子服務端。

網絡傳播

用戶反映他的電腦感染了一個叫“灰鴿子”的變種病毒，而且用最新病毒庫的殺毒軟件殺毒後病毒仍然會出現，他周圍也有朋友反映遇到了這種情況，現在他的電腦運行十分緩慢，CPU占用率常常達到100%。

“灰鴿子”病毒及其變種正在網上加速傳播，該病毒在每周十大病毒排行中位居首位，并以每天十幾個變種的速度加速傳播。江民反病毒專家介紹，“灰鴿子”變種病毒運行後，會自我複制到Windows目錄下，并自行将安裝程序删除。修改注冊表，将病毒文件注冊為服務項實現開機自啟。病毒程序還會注入所有的進程中，隐藏自我，防止被殺毒軟件查殺。自動開啟IE浏覽器，以便與外界進行通信，偵聽黑客指令，在用戶不知情的情況下連接黑客指定站點，盜取用戶信息、下載其它特定程序。

正是由于“灰鴿子”變種主程序一般是隐藏的，該文件在正常模式下不易被殺毒軟件查殺，而且利用一些加殼工具可以十分容易地對其進行修改，從而輕易生成新變種。