你知道灰鴿子病毒是做什麼的嗎？

　　聽說過灰鴿子嗎？我說的是灰鴿子電腦病毒，准確來說它不是病毒，知道它是做什麼的嗎？

　　灰鴿子是國內一款著名後門。灰鴿子比起前輩冰河、黑洞來，灰鴿子可以說是國內後門的集大成者。其豐富而強大的功能、靈活多變的操作、良好的隱藏性使其他後門都相形見绌。客戶端簡易便捷的操作使剛入門的初學者都能充當黑客。話說回來了，當使用在合法情況下時，灰鴿子是一款優秀的遠程控制軟件。但如果拿它做一些非法的事，灰鴿子就成了很強大的黑客工具。這就好比火藥，用在不同的場合，給人類帶來不同的影響。對灰鴿子完整的介紹也許只有灰鴿子作者本人能夠說清楚，在此我們只能進行簡要介紹。

　　灰鴿子客戶端和服務端都是采用Delphi編寫。黑客利用客戶端程序配置出服務端程序。可配置的信息主要包括上線類型（如等待連接還是主動連接）、主動連接時使用的公網IP（域名）、連接密碼、使用的端口、啟動項名稱、服務名稱，進程隱藏方式，使用的殼，代理，圖標等等。

　　服務端對客戶端連接方式有多種，使得處於各種網絡環境的用戶都可能中毒，包括局域網用戶（通過代理上網）、公網用戶和ADSL撥號用戶等。
　　(2)作者
　　葛軍
　　（1982- ）安徽潛山人，灰鴿子工作室管理員，精通Delphi、ASP、數據庫編程，2001年首次將反彈連接應用在遠程控制軟件上，隨後掀起了國內遠程控制軟件使用反彈連接的熱潮，2005年4月，將虛擬驅動技術應用到灰鴿子屏幕控制上，使灰鴿子的屏幕控制達到了國際先進水平。
　　葛軍，“灰鴿子工作室的創辦者
　　葛軍，“灰鴿子工作室的創辦者，一個低調而又引人注目的程序員。

　　下面介紹服務端：
　　配置出來的服務端文件文件名為G_Server.exe（這是默認的，當然也可以改變）。然後黑客利用一切辦法誘騙用戶運行G_Server.exe程序。
　　G_Server.exe運行後將自己拷貝到Windows目錄下(98/xp下為系統盤的windows目錄，2k/NT下為系統盤的Winnt目錄)，然後再從體內釋放G_Server.dll和G_Server_Hook.dll到windows目錄下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三個文件相互配合組成了灰鴿子服務端， G_Server_Hook.dll負責隱藏灰鴿子。通過截獲進程的API調用隱藏灰鴿子的文件、服務的注冊表項，甚至是進程中的模塊名。截獲的函數主要是用來遍歷文件、遍歷注冊表項和遍歷進程模塊的一些函數。所以，有些時候用戶感覺種了毒，但仔細檢查卻又發現不了什麼異常。有些灰鴿子會多釋放出一個名為G_ServerKey.dll的文件用來記錄鍵盤操作。注意，G_Server.exe這個名稱並不固定，它是可以定制的，比如當定制服務端文件名為A.exe時，生成的文件就是A.exe、A.dll和A_Hook.dll。
　　Windows目錄下的G_Server.exe文件將自己注冊成服務（9X系統寫注冊表啟動項），每次開機都能自動運行，運行後啟動G_Server.dll和G_Server_Hook.dll並自動退出。G_Server.dll文件實現後門功能，與控制端客戶端進行通信；G_Server_Hook.dll則通過攔截API調用來隱藏病毒。因此，中毒後，我們看不到病毒文件，也看不到病毒注冊的服務項。隨著灰鴿子服務端文件的設置不同，G_Server_Hook.dll有時候附的進程空間中，有時候則是附在所有進程中。
　　灰鴿子的作者對於如何逃過殺毒軟件的查殺花了很大力氣。由於一些API函被截獲，正常模式下難以遍歷到灰鴿子的文件和模塊，造成查殺上的困難。要卸載灰鴿子動態庫而且保證系統進程不崩潰也很麻煩，因此造成了近期灰鴿子在互聯網上泛濫的局面。
灰鴿子給黑客帶來的經濟效益
　　黑客可以在灰鴿子工作室的網站上花100元下載灰鴿子，在網上花200元就可以找師傅學灰鴿子使用技巧。而黑客一天可以控制上百個用戶，網民稱之“肉雞。據黑客王某說，他一天可以抓20只雞，在江浙發達地區的肉雞可以一直賣3至4塊，普通地區賣1塊，一天盜幾十個號，好號可以賣幾十元甚至1000元，普通的也能是幾塊錢。平均每月3000元，據王某稱這還是小的，有的駭客甚至一月上萬元。
灰鴿子的手工檢測
　　由於灰鴿子攔截了API調用，在正常模式下服務端程序文件和它注冊的服務項均被隱藏，也就是說你即使設置了“顯示所有隱藏文件也看不到它們。此外，灰鴿子服務端的文件名也是可以自定義的，這都給手工檢測帶來了一定的困難。
　　但是，通過仔細觀察我們發現，對於灰鴿子的檢測仍然是有規律可循的。從上面的運行原理分析可以看出，無論自定義的服務器端文件名是什麼，一般都會在操作系統的安裝目錄下生成一個以“_hook.dll結尾的文件。通過這一點，我們可以較為准確手工檢測出灰鴿子 服務端。

　　由於正常模式下灰鴿子會隱藏自身，因此檢測灰鴿子的操作一定要在安全模式下進行。進入安全模式的方法是：啟動計算機，在系統進入Windows啟動畫面前，按下F8鍵(或者在啟動計算機時按住Ctrl鍵不放)，在出現的啟動選項菜單中，選擇“Safe Mode或“安全模式。
　　1、由於灰鴿子的文件本身具有隱藏屬性，因此要設置Windows顯示所有文件。打開“我的電腦，選擇菜單“工具—》“文件夾選項，點擊“查看，取消“隱藏受保護的操作系統文件前的對勾，並在“隱藏文件和文件夾項中選擇“ 顯示所有文件和文件夾，然後點擊“確定。
　　2、打開Windows的“搜索文件，文件名稱輸入“_hook.dll，搜索位置選擇Windows的安裝目錄（默認98/xp為C:\windows，2k/NT為C:\Winnt）。
　　3、經過搜索，我們在Windows目錄（不包含子目錄）下發現了一個名為Game_Hook.dll的文件。
　　4、根據灰鴿子原理分析我們知道，如果Game_Hook.DLL是灰鴿子的文件，則在操作系統安裝目錄下還會有Game.exe和Game.dll文件。打開Windows目錄，果然有這兩個文件，同時還有一個用於記錄鍵盤操作的GameKey.dll文件。
　　經過這幾步操作我們基本就可以確定這些文件是灰鴿子 服務端了，下面就可以進行手動清除。
灰鴿子的手工清除
　　經過上面的分析，清除灰鴿子就很容易了。清除灰鴿子仍然要在安全模式下操作，主要有兩步：
　　1、清除灰鴿子的服務；
　　2、刪除灰鴿子程序文件。
　　注意：為防止誤操作，清除前一定要做好備份。
　　（一）、清除灰鴿子的服務
　　注意清除灰鴿子的服務一定要在注冊表裡完成，對注冊表不熟悉的網友請找熟悉的人幫忙操作，清除灰鴿子的服務一定要先備份注冊表，或者到純DOS下將注冊表文件更名，然後再去注冊表刪除灰鴿子的服務。因為病毒會和EXE文件進行關聯
　　2000／XP系統：
　　1、打開注冊表編輯器（點擊“開始－》“運行，輸入“Regedit.exe，確定。），打開 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注冊表項。
　　2、點擊菜單“編輯－》“查找，“查找目標輸入“game.exe，點擊確定，我們就可以找到灰鴿子的服務項（此例為Game_Server，每個人這個服務項名稱是不同的）。
　　3、刪除整個Game_Server項。
　　98／me系統：
　　在9X下，灰鴿子啟動項只有一個，因此清除更為簡單。運行注冊表編輯器，打開HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run項，我們立即看到名為Game.exe的一項，將Game.exe項刪除即可。
　　（二）、刪除灰鴿子程序文件
　　刪除灰鴿子程序文件非常簡單，只需要在安全模式下刪除Windows目錄下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件，然後重新啟動計算機。至此，灰鴿子VIP 2005 服務端已經被清除干淨。
　　以上介紹的方法適用於我們看到的大部分灰鴿子木馬及其變種，然而仍有極少數變種采用此種方法無法檢測和清除。同時，隨著灰鴿子新版本的不斷推出，作者可能會加入一些新的隱藏方法、防刪除手段，手工檢測和清除它的難度也會越來越大。

　　四、防止中灰鴿子病毒需要注意的事項
　　1. 給系統安裝補丁程序。通過Windows Update安裝好系統補丁程序(關鍵更新、安全更新和Service pack)，其中MS04-011、MS04-012、MS04-013、MS03-001、MS03-007、MS03-049、MS04-032等都被病毒廣泛利用，是非常必要的補丁程序
　　2. 給系統管理員帳戶設置足夠復雜足夠強壯的密碼，最好能是10位以上，字母+數字+其它符號的組合；也可以禁用/刪除一些不使用的帳戶
　　3. 經常更新殺毒軟件（病毒庫），設置允許的可設置為每天定時自動更新。安裝並合理使用網絡防火牆軟件，網絡防火牆在防病毒過程中也可以起到至關重要的作用，能有效地阻擋自來網絡的攻擊和病毒的入侵。部分盜版Windows用戶不能正常安裝補丁，這點也比較無奈，這部分用戶不妨通過使用網絡防火牆來進行一定防護
　　4. 關閉一些不需要的服務，條件允許的可關閉沒有必要的共享，也包括C$、D$等管理共享。完全單機的用戶可直接關閉Server服務。
　　. 下載HijackThis掃描系統
灰鴿子的下載地址
　　http://hi.baidu.com/tamdongrong
　　http://www.skycn.com/soft/15753.html zww3008漢化版
　　http://www.merijn.org/files/hijackthis.zip 英文版
　　2. 從HijackThis日志的 O23項可以發