灰鴿子病毒是什么(圖文)

灰鴿子軟件原本該適用于公司和家庭管理，其功能十分強大，不但能監視攝像頭、鍵盤記錄、監控桌面、文件操作等。還可以運行后自刪除、毫無提示安裝等，因早年采用反彈鏈接這種缺陷設計，使得使用者擁有最高權限，一經破解即無法控制。最終導致被黑客惡意使用。原作者的灰鴿子被誤認為是一款集多種控制方式于一體的木馬程序。5oV電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

5oV電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

病毒機理

病毒構成

配置出來的服務端文件文件名為 G_Server.exe（這是默認的，當然也可以改變）。然后黑客利用一切辦法誘騙用戶運行 G_Server.exe 程序。5oV電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

運行過程

G_Server.exe 運行后將自己拷貝到 Windows 目錄下(98/xp 下為系統盤的 windows 目錄，2k/NT 下為系統盤的 Winnt 目錄)，然后再從體內釋放 G_Server.dll 和 G_Server_Hook.dll 到 windows 目錄下。G_Server.exe、G_Server.dll 和 G_Server_Hook.dll 三個文件相互配合組成了灰鴿子服務端， G_Server_Hook.dll 負責隱藏灰鴿子。通過截獲進程的 API 調用隱藏灰鴿子的文件、服務的注冊表項，甚至是進程中的模塊名。截獲的函數主要是用來遍歷文件、遍歷注冊表項和遍歷進程模塊的一些函數。所以，有些時候用戶感覺中了毒，但仔細檢查卻又發現不了什么異常。有些灰鴿子會多釋放出一個名為 G_ServerKey.dll 的文件用來記錄鍵盤操作。注意，G_Server.exe 這個名稱并不固定，它是可以定制的，比如當定制服務端文件名為 A.exe 時，生成的文件就是 A.exe、A.dll 和 A_Hook.dll。5oV電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

Windows 目錄下的 G_Server.exe 文件將自己注冊成服務（9X 系統寫注冊表啟動項），每次開機都能自動運行，運行后啟動 G_Server.dll 和 G_Server_Hook.dll 并自動退出。G_Server.dll 文件實現后門功能，與控制端客戶端進行通信；G_Server_Hook.dll 則通過攔截 API 調用來隱藏病毒。因此，中毒后，我們看不到病毒文件，也看不到病毒注冊的服務項。隨著灰鴿子服務端文件的設置不同，G_Server_Hook.dll 有時候附在 Explorer.exe 的進程空間中，有時候則是附在所有進程中。5oV電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

病毒發展

誕生期

自 2001 年，灰鴿子誕生之日起，就被反病毒專業人士判定為最具危險性的后門程序，并引發了安全領域的高5oV電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

度關注。2004 年、2005 年、2006 年，灰鴿子木馬連續三年被國內各大殺毒廠商評選為年度十大病毒，灰鴿子也因此聲名大噪，逐步成為媒體以及網民關注的焦點。5oV電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

灰鴿子自 2001 年出現至今，主要經歷了模仿期、飛速發展期以及全民駭客時代三大階段。5oV電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

灰鴿子 2011 出現變種。服務端加殼之后僅有 70kb，比葛軍的灰鴿子小了近 10 倍。國家多線程上線分組。可視化遠程開戶。可以躲過主流管理員的檢測方式，隱蔽性強。5oV電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

傳播方式

灰鴿子自身并不具備傳播性，一般通過捆綁的方式進行傳播。5oV電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

灰鴿子傳播的四大途徑：網頁傳播、郵件傳播、IM 聊天工具傳播、非法軟件傳播。5oV電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

1．網頁傳播：病毒制作者將灰鴿子病毒植入網頁中，用戶瀏覽即感染。5oV電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

2．郵件傳播：灰鴿子被捆綁在郵件附件中進行傳播。5oV電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

3.聊天工具傳播：通過即時聊天工具傳播攜帶灰鴿子的網頁鏈接或文件。5oV電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

4.非法軟件傳播：病毒制作者將灰鴿子病毒捆綁進各種非法軟件，用戶下載解壓安裝即感染。5oV電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

清除預防

手工檢測

由于灰鴿子攔截了 API 調用，在正常模式下服務端程序文件和它注冊的服務項均被隱藏，也就是說你即使設置了“顯示所有隱藏文件”也看不到它們。此外，灰鴿子服務端的文件名也是可以自定義的，這都給手工檢測帶來了一定的困難。5oV電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

但是，通過仔細觀察我們發現，對于灰鴿子的檢測仍然是有規律可循的。從上面的運行原理分析可以看出，無論自定義的服務器端文件名是什么，一般都會在操作系統的安裝目錄下生成一個以“_hook.dll”結尾的文件。通過這一點，我們可以較為準確手工檢測出灰鴿子 服務端。5oV電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

由于正常模式下灰鴿子會隱藏自身，因此檢測灰鴿子的操作一定要在安全模式下進行。進入安全模式的方法是：啟動計算機，在系統進入 Windows 啟動畫面前，按下 F8 鍵(或者在啟動計算機時按住 Ctrl 鍵不放)，在出現的啟動選項菜單中，選擇“Safe Mode”或“安全模式”。5oV電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

1．由于灰鴿子的文件本身具有隱藏屬性，因此要設置 Windows 顯示所有文件。打開“我的電腦”，選擇菜單“工具”—》“文件夾選項”，點擊“查看”，取消“隱藏受保護的操作系統文件”前的對勾，并在“隱藏文件和文件夾”項中選擇“ 顯示所有文件和文件夾”，然后點擊“確定”。5oV電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

2．打開 Windows 的“搜索文件”，文件名稱輸入“*_hook.dll”，搜索位置選擇 Windows 的安裝目錄（默認 98/xp 為 C:\windows，2k/NT 為 C:\Winnt）。5oV電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

3．經過搜索，我們在 Windows 目錄（不包含子目錄）下發現了一個名為 Game_Hook.dll 的文件。5oV電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

4．根據灰鴿子原理分析我們知道，如果 Game_Hook.DLL 是灰鴿子的文件，則在操作系統安裝目錄下還會有 Game.exe 和 Game.dll 文件。打開 Windows 目錄，果然有這兩個文件，同時還有一個用于記錄鍵盤操作的 GameKey.dll 文件。5oV電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網

經過這幾步操作我們基本就可以確定這些文件是灰鴿子服務端了，下面就可以進行手動清除。5oV電腦_數碼_手機應用問題解決的IT技術網站 - 云狐網