编辑“灰鸽子”

灰鸽子是国内一款著名后门。比起前辈[[冰河]]、[[黑洞]]来，灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当[[黑客]]。当使用在合法情况下时，灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事，灰鸽子就成了很强大的黑客工具，。这就好比火药，用在不同的场合，给人类带来不同的影响。对灰鸽子完整的介绍也许只有灰鸽子作者本人能够说清楚，在此我们只能进行简要介绍。 

==灰鸽子病毒==
===灰鸽子作者===
作者葛军（1982-? ）安徽潜山人，灰鸽子工作室管理员，精通[[Delphi]]、[[ASP]]、[[数据库]]编程，2001年首次将反弹连接应用在远程控制软件上，随后掀起了国内远程控制软件使用反弹连接的热潮，2005年4月，将虚拟驱动技术应用到灰鸽子屏幕控制上，使灰鸽子的屏幕控制达到了国际先进水平。 

葛军，“灰鸽子工作室”的创办者，一个低调而又引人注目的程序员。

灰鸽子客户端和服务端都是采用Delphi编写。黑客利用客户端程序配置出服务端程序。可配置的信息主要包括上线类型（如等待连接还是主动连接）、主动连接时使用的公网[[IP]]（域名）、连接密码、使用的端口、启动项名称、服务名称，进程隐藏方式，使用的壳，代理，图标等等。 

服务端对客户端连接方式有多种，使得处于各种网络环境的用户都可能中毒，包括[[局域网]]用户（通过代理上网）、公网用户和[[ADSL]]拨号用户等。

因涉及互联网安全法律纠纷问题，自2007年3月21日起灰鸽子已全面停止开发和注册。[[互联网]]上现存灰鸽子版本为以前所开发灰鸽子软件及其修改版。


===灰鸽子给黑客带来的经济效益===
黑客可以在灰鸽子工作室的网站上花100元下载灰鸽子，在网上花200元就可以找师傅学灰鸽子使用技巧。而黑客一天可以控制上百个用户，网民称之“[[肉鸡]]”。据黑客王某说，他一天可以抓200只鸡，在江浙发达地区的肉鸡可以一只卖3至4块，普通地区卖1块，一天盗几十个号，好号可以卖几十元甚至1000元，普通的也能是几块钱。平均每月3000元，据王某称这还是小的，有的黑客甚至一月上万元。

个别有不良思想的公司会请黑客们入侵另一家公司，攻击或者窃取资料，然后会付给一些报酬。网上也会有一些人想要“逗逗”朋友或者其他用途，都想恶作剧。常常造成严重的后果。

===灰鸽子-变种来袭===
[[国家计算机病毒应急处理中心]]通过对互联网的监测发现，近期出现了“灰鸽子”的新变种。专家指出，该变种在受感染计算机系统中运行后，会将[[病毒]]文件复制到系统的指定目录下，并将文件属性设置为只读、隐藏或存档，使得计算机用户无法发现并删除。该变种还会修改受感染系统注册表中的启动项，使得变种随计算机系统启动而自动运行。 

另外，该变种还会在受感染操作系统中创建新的[[IE]]进程，并设置其属性为隐藏，然后将病毒文件自身插入到该进程中。如果恶意攻击者利用该变种入侵感染计算机系统，那么受感染的操作系统会主动连接互联网络中指定的[[服务器]]，下载其他病毒、木马等恶意程序，同时恶意攻击者还会窃取计算机用户的键盘操作信息（如：登录账户名和密码信息等），最终造成受感染的计算机系统被完全控制，严重威胁到计算机用户的系统和信息安全。

==灰鸽子的查杀==
===灰鸽子的手工检测===
由于灰鸽子拦截了API调用，在正常模式下服务端程序文件和它注册的服务项均被隐藏，也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外，灰鸽子服务端的文件名也是可以自定义的，这都给手工检测带来了一定的困难。 

但是，通过仔细观察我们发现，对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出，无论自定义的服务器端文件名是什么，一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点，我们可以较为准确手工检测出灰鸽子服务端。 

由于正常模式下灰鸽子会隐藏自身，因此检测灰鸽子的操作一定要在安全模式下
进行。进入安全模式的方法是：启动计算机，在系统进入Windows启动画面前，按下F8键(或者在启动计算机时按住Ctrl键不放)，在出现的启动选项菜单中，选择“Safe Mode”或“安全模式”。 
#由于灰鸽子的文件本身具有隐藏属性，因此要设置Windows显示所有文件。打开“我的电脑”，选择菜单“工具”—》“文件夹选项”，点击“查看”，取消“隐藏受保护的[[操作系统]]文件”前的对勾，并在“隐藏文件和文件夹”项中选择“ 显示所有文件和文件夹”，然后点击“确定”。 
#打开[[Windows]]的“搜索文件”，文件名称输入“_hook.dll”，搜索位置选择Windows的安装目录（默认98/xp为C:\windows，2k/NT为C:\Winnt）。 
#经过搜索，我们在Windows目录（不包含子目录）下发现了一个名为Game_Hook.dll的文件。 
#根据灰鸽子原理分析我们知道，如果Game_Hook.DLL是灰鸽子的文件，则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录，果然有这两个文件，同时还有一个用于记录键盘操作的GameKey.dll文件。 

经过这几步操作我们基本就可以确定这些文件是灰鸽子 服务端了，下面就可以进行手动清除。

===灰鸽子的手工清除===
经过上面的分析，清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作，主要有两步：
#清除灰鸽子的服务；
#删除灰鸽子程序文件。 

注意：为防止误操作，清除前一定要做好备份。 
====清除灰鸽子的服务==== 
注意清除灰鸽子的服务一定要在注册表里完成，对注册表不熟悉的网友请找熟悉的人帮忙操作，清除灰鸽子的服务一定要先备份注册表，或者到纯DOS下将注册表文件更名，然后再去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联 

'''WIN2000／XP系统：''' 
#打开注册表编辑器（点击“开始”－》“运行”，输入“Regedit.exe”，确定。），打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。 
#点击菜单“编辑”－》“查找”，“查找目标”输入“game.exe”，点击确定，我们就可以找到灰鸽子的服务项（此例为Game_Server，每个人这个服务项名称是不同的）。 
#删除整个Game_Server项。 

'''98／me系统：''' 
在9X下，灰鸽子启动项只有一个，因此清除更为简单。运行注册表编辑器，打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项，我们立即看到名为Game.exe的一项，将Game.exe项删除即可。 

===删除灰鸽子程序文件=== 
删除灰鸽子程序文件非常简单，只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件，然后重新启动计算机。至此，灰鸽子VIP 2005 服务端已经被清除干净。 

以上介绍的方法适用于我们看到的大部分灰鸽子木马及其变种，然而仍有极少数变种采用此种方法无法检测和清除。同时，随着灰鸽子新版本的不断推出，作者可能会加入一些新的隐藏方法、防删除手段，手工检测和清除它的难度也会越来越大。 

==防止中灰鸽子病毒==
#给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack)，其中MS04-011、MS04-012、MS04-013、MS03-001、MS03-007、MS03-049、MS04-032等都被病毒广泛利用，是非常必要的补丁程序 
#给系统管理员帐户设置足够复杂足够强壮的密码，最好能是10位以上，字母+数字+其它符号的组合；也可以禁用/删除一些不使用的帐户 
#经常更新杀毒软件（病毒库），设置允许的可设置为每天定时自动更新。安装并合理使用网络防火墙软件，网络防火墙在防病毒过程中也可以起到至关重要的作用，能有效地阻挡自来网络的攻击和病毒的入侵。部分盗版Windows用户不能正常安装补丁，这点也比较无奈，这部分用户不妨通过使用网络防火墙来进行一定防护 
#关闭一些不需要的服务，条件允许的可关闭没有必要的共享，也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。 

'''下载HijackThis扫描系统''' 

与“[[熊猫烧香]]”病毒的“张扬”不同，“灰鸽子”更像一个隐形的贼，潜伏在用户“家”中，监视用户的一举一动，甚至用户与MSN、QQ好友聊天的每一句话都难逃“鸽”眼。专家称，“熊猫烧香”还停留在对电脑自身的破坏，而“灰鸽子”已经发展到对“人”的控制，而被控者却毫不知情。从某种意义上讲，“灰鸽子”的危害及危险程度超出“熊猫烧香”10倍。

==灰鸽子的传播途径==
灰鸽子自身并不具备传播性，一般通过捆绑的方式进行传播。灰鸽子传播的四大途径：网页传播、邮件传播、IM聊天工具传播、非法软件传播。
#[[网页]]传播：病毒制作者将灰鸽子病毒植入网页中，用户浏览即感染；
#[[邮件]]传播：灰鸽子被捆绑在邮件附件中进行传播；
#IM聊天工具传播：通过即时聊天工具传播携带灰鸽子的网页链接或文件。
#非法软件传播：病毒制作者将灰鸽子病毒捆绑进各种非法软件，用户下载解压安装即感染。
以上他们做了命名规则解释,去下载一个木马杀客灰鸽子专杀,清理完后 需要重新启动计算机 服务停止 然后去找那些残留文件务。

==相关条目==
*[[黑客]]
*[[肉鸡]]

[[CATEGORY:电脑安全|H]]
[[CATEGORY:病毒|H]]
[[category:互联网|H]]