灰鸽子

认识灰鸽子

　　灰鸽子自称是一款采用Delphi编写的远程控制软件，但自2001年诞生以来就被反病毒专家定义为“极度危险的木马程序”。2007年春节期间灰鸽子出现了最新的2007版，它像个身着隐形材料的猎手，潜伏在用户系统中，使用“反弹端口”原理，在用户毫不知情的情况下，远程控制用户的计算机，实现修改注册表；上传下载文件；查看系统信息、进程、服务；查看操作窗口、记录键盘、修改共享、开启代理服务器、命令行操作、监视远程屏幕、操控远程语音视频设备、关闭、重启机器等操作。

　　灰鸽子如何传播?

　　灰鸽子自身并不具备传播性，它一般通过捆绑的方式进行传播。灰鸽子的传播主要通过以下四大途径：

　　网页传播：病毒制作者将灰鸽子病毒植入网页中，用户点击即感染；

　　邮件传播：把灰鸽子捆绑在邮件附件中传播；

　　IM传播：通过即时聊天工具传播携带灰鸽子的网页链接或文件；

　　非法软件传播：病毒制作者将灰鸽子病毒捆绑进各种非法软件，用户下载解压安装即感染。

　　盗号

　　灰鸽子入侵用户电脑后，可通过键盘记录器等手段记录用户的键盘输入信息，无论是QQ、网络游戏、网上银行的账号密码都难逃被盗厄运。热门网络游戏魔兽争霸曾发生一个区服大量账号短时间内被盗事件，引起数千玩家集中投诉。此外，2006年10月，BTV7《生活面对面》节目报道网银账户内1万余元被分15次盗走，警方在事主的电脑查获到灰鸽子病毒。

　　偷窥隐私

　　灰鸽子可通过远程控制用户电脑上的摄像头偷窥用户隐私。只要用户的机器处于开机状态，远程操控者就可以自动开启用户的摄像头，窥探用户隐私。想想自己家里隐藏了一只远在千里之外眼睛，是否会令你毛骨悚然。

　　敲诈

　　黑客利用灰鸽子病毒可完全控制被感染的电脑，对电脑中的任何文件都可以任意处置，比如用户的一些重要文件、私密照片等等，而在远方的黑客一旦发现用户比较隐私或机密的东西，立刻将其转移到其他地方，并通过邮件等方式对用户进行勒索。3月7日，BTV1《法制进行时》曾报道江西瑞金一男子使用木马程序盗走受害人裸照，并向事主索要14万元人民币的案件，最后这名男子以敲诈勒索罪被判有期徒刑6年。

　　发展肉鸡

　　灰鸽子的一大危害就是可以大量发展肉鸡，并利用肉鸡进行“赚钱”，实现非法获利。如在“肉鸡”上植入点击广告的软件(挂机)，充当肉鸡的机器不明不白地被人当作挣钱工具，网费还得自己掏；利用肉鸡配置代理服务器，以此作为跳板对其他电脑发起入侵，灰鸽子集成了代理服务器功能，但是并不提供日志，一旦从最终受害者追查时，肉鸡电脑将成为替罪羊；此外，还可以用大量肉鸡组建僵尸网络，随时可以被用于一些特殊目的，比如发起DDoS攻击等。难以想象，如果大量肉鸡被敌对势力控制，将会对中国的网络安全造成什么样的后果。

　　间断性骚扰

　　用户在工作的时候最害怕被打扰。比如电脑突然死机、反复重启、系统瘫痪等等，都会带来不小的麻烦。当你正在向电脑中录入大量的文档，当你正在下载一个重要的文件，你的电脑突然自动关机，会是一件多么郁闷的事情。而且，如果你在工作的时候，桌面上不断地弹出一些广告窗口，不但严重影响正常工作，而且也将影响到心情，而这一切都是灰鸽子的典型危害。

　　恶搞性破坏

　　看谁不顺眼，就可以肆意搞破坏，攻击者可利用灰鸽子对被感染的用户电脑为所欲为，修改注册表、删除重要文件、修改共享、开启代理服务器、下载病毒等等，试想如果你电脑的注册表被恶意篡改、系统文件被删除，而且电脑中还被放了大量病毒，你的电脑将如何?所以千万别得罪那些电脑高手，否则弄个灰鸽子放入你的电脑。

　　上面列举的灰鸽子的七宗罪让我们进一步了解了灰鸽子木马的危害，而灰鸽子的最大威胁还在于其高度的隐蔽性，也就是说，灰鸽子在给用户造成上述七种危害的同时，用户很可能毫不知情，而攻击者在利用灰鸽子进行攻击后，可立刻将相关病毒文件删除，这样一来，用户即使知道自己的损失，也无法进行追查。这也是为什么广大网民还没有意识到灰鸽子异常危险的一个主要原因。

 

打算抄几个文章介绍下这个木马，今天开了”灰鸽子“专栏。

灰鸽子病毒是模仿冰河木马的功能，借鉴了网络神偷的反弹端口原理，到灰鸽子2007beta2，这个臭名昭著的木马，早已青出于蓝胜于蓝了。

网络神偷是一个远程文件访问工具，可对本地及远程驱动器进行：新建文件、新建文件夹、查找文件、剪切、复制、粘贴(包括：本地文件操作、上传、 下载、同远程主机的文件复制与移动)、本地运行、远程运行、重命名、删除、查看、修改驱动器属性、修改文件属性等操作，并且所有操作均支持多选及文件夹操 作。服务端运行原理更一般的远程控制黑客程序不同，它利用“反弹端口”原理——服务端(被控制端)主动连接客户端(控制端)，为了隐蔽起见，监听端口一般 开在80(提供HTTP服务的端口)，这样，即使用户使用端口扫描软件检查自己的端口，也难以发现。

而控制端发给服务 端的数据是通过一个第三方的空间来实现的，一般用一个主页空间，控制端通过FTP写主页空间上的一个文件，而服务端定期用HTTP协议读取这个文件的内 容，当发现客户端让自己开始连接时，就主动连接。这样，控制端就可以穿过防火墙，甚至还能访问局域网内部的电脑。

灰鸽子病毒也是利用反弹端口原理的木马，缺省端口为8000。对于企业内部网来说，普通木马难以进入，因为部署在网关位置的防火墙会阻止外部网对内部网主机的直接访问。而采用反弹端口技术的灰鸽子木马的作法和网络神偷差不多，服务端（内部网中毒主机）读取ip.txt文件内容，主动连接（客户端）远程控制端，这就是灰鸽子病毒的自动上线设置。控制端就穿过企业防火墙，获得对服务端（中毒的内网主机）的安全控制权。

[病毒防护] 手动清除“灰鸽子”木马病毒的方法。

“灰鸽子”（Backdoor.GPigeon.gen）是一个极具破坏力的木马病毒，它可以使中毒电脑被黑客远程控制、记录键盘操作、中止运行中的进程、强制重新启动计算机等，并且拥有多个变种，是 2005-2006 年度发作最为严重的病毒之一。清除“灰鸽子”最好借助可以随时升级病毒库的杀毒软件，或者各大杀毒软件厂商提供的“灰鸽子”专杀工具。但如果一时没有杀毒软件可用，则只能手动清除病毒。从瑞星网站上转载一篇手动清除“灰鸽子”木马病毒的方法： 1. 删除“灰鸽子”建立的系统服务： “灰鸽子”后门程序会将其自身注册为系统服务，在通常情况下无法看到“灰鸽子”生成的文件、进程以及服务和注册表信息。若要删除它们，首先必须删除“灰鸽子”注册的系统服务。以安全模式启动 Windows，打开注册表编辑器，定位到： HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/SVCH0ST.EXE（这里的 SVCH0ST 是数字 0，而不是英文字母 o），在这个注册表项中找到 ImagePath 字符串值，如果其值显示为 %SystemRoot%/GServer.EXE，则为“灰鸽子”注册的系统服务。将 HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/SVCH0ST.EXE 直接删除，即可删除“灰鸽子”注册的系统服务。 2.删除“灰鸽子”文件： 修改注册表后重新启动 Windows，“灰鸽子”注册的系统服务已经被删除，因此可以直接查看到“灰鸽子”病毒文件了，即 %SystemRoot%/GServer.EXE，将其删除。如果依然看不到此文件，可在控制面板中打开“文件夹选项”，在“查看”选项卡中选择“显示所有文件夹和文件”，并取消“隐藏受保护的系统文件（推荐）”这一项即可。 3.删除注册表中的残留信息： 打开注册表编辑器定位到：HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Enum/Root/LEGACY_SVCH0ST.EXE，右键单击选择“安全”－“权限”，在“Everyone”权限设置中选择“完全控制”的权限为允许。然后重新启动 Windows。 至此，“灰鸽子”病毒被清除完毕。