Backdoor.GPigeon.uql

灰鴿子（Hack. Huigezi）是一個集多種控制方法於一體的木馬病毒，一旦用戶電腦不幸感染，可以說用戶的一舉一動都在黑客的監控之下，要竊取賬號、密碼、照片、重要檔案都輕而易舉。更甚的是，他們還可以連續捕獲遠程電腦螢幕，還能監控被控電腦上的攝像頭，自動開機（不開顯示器）並利用攝像頭進行錄像。截至2006年底，“灰鴿子”木馬已經出現了6萬多個變種。客戶端簡易便捷的操作使剛入門的初學者都能充當黑客。當使用在合法情況下時，灰鴿子是一款優秀的遠程控制軟體。但如果拿它做一些非法的事，灰鴿子就成了很強大的黑客工具。

運行之後，病毒會向系統里釋放病毒檔案，並修改註冊表實現開機自動運行。中毒之後，攻擊者可對電腦進行遠程控制，進行多種危險操作，如：記錄鍵盤輸入、結束指定的進程、強制重啟電腦、執行系統命令、獲取系統信息、從網上下載指定的檔案等等。

(1)客戶端簡易便捷的操作使剛入門的初學者都能充當黑客。當使用在合法情況下時，灰鴿子是一款優秀的遠程控制軟體。但如果拿它做一些非法的事，灰鴿子就成了很強大的黑客工具。這就好比火藥，用在不同的場合，給人類帶來不同的影響。對灰鴿子完整的介紹也許只有灰鴿子作者本人能夠說清楚，在此我們只能進行簡要介紹。

灰鴿子客戶端和服務端都是採用Delphi編寫。黑客利用客戶端程式配置出服務端程式。可配置的信息主要包括上線類型（如等待連線還是主動連線）、主動連線時使用的公網IP（域名）、連線密碼、使用的連線埠、啟動項名稱、服務名稱，進程隱藏方式，使用的殼，代理，圖示等等。

服務端對客戶端連線方式有多種，使得處於各種網路環境的用戶都可能中毒，包括區域網路用戶（通過代理上網）、公網用戶和ADSL撥號用戶等。

因涉及網際網路安全法律糾紛問題，自2007年3月21日起灰鴿子已全面停止開發和註冊。網際網路上現存灰鴿子版本為以前所開發灰鴿子軟體及其修改版。

(2)作者葛軍（1982-? ）安徽潛山人，灰鴿子工作室管理員，精通Delphi、ASP、資料庫編程，2001年首次將反彈連線套用在遠程控制軟體上，隨後掀起了國內遠程控制軟體使用反彈連線的熱潮，2005年4月，將虛擬驅動技術套用到灰鴿子螢幕控制上，使灰鴿子的螢幕控制達到了國際先進水平。

葛軍，“灰鴿子工作室”的創辦者，一個低調而又引人注目的程式設計師。

配置出來的服務端檔案檔案名稱為G_Server.exe（這是默認的，當然也可以改變）。然後黑客利用一切辦法誘騙用戶運行G_Server.exe程式。

G_Server.exe運行後將自己拷貝到Windows目錄下(98/xp下為系統盤的windows目錄，2k/NT下為系統盤的Winnt目錄)，然後再從體內釋放G_Server.dll和G_Server_Hook.dll到windows目錄下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三個檔案相互配合組成了灰鴿子服務端， G_Server_Hook.dll負責隱藏灰鴿子。通過截獲進程的API調用隱藏灰鴿子的檔案、服務的註冊表項，甚至是進程中的模組名。截獲的函式主要是用來遍歷檔案、遍歷註冊表項和遍歷進程模組的一些函式。所以，有些時候用戶感覺中了毒，但仔細檢查卻又發現不了什麼異常。有些灰鴿子會多釋放出一個名為G_ServerKey.dll的檔案用來記錄鍵盤操作。注意，G_Server.exe這個名稱並不固定，它是可以定製的，比如當定製服務端檔案名稱為A.exe時，生成的檔案就是A.exe、A.dll和A_Hook.dll。

Windows目錄下的G_Server.exe檔案將自己註冊成服務（9X系統寫註冊表啟動項），每次開機都能自動運行，運行後啟動G_Server.dll和G_Server_Hook.dll並自動退出。G_Server.dll檔案實現後門功能，與控制端客戶端進行通信；G_Server_Hook.dll則通過攔截API調用來隱藏病毒。因此，中毒後，我們看不到病毒檔案，也看不到病毒註冊的服務項。隨著灰鴿子服務端檔案的設定不同，G_Server_Hook.dll有時候附在Explorer.exe的進程空間中，有時候則是附在所有進程中。

灰鴿子的作者對於如何逃過防毒軟體的查殺花了很大力氣。由於一些API函式被截獲，正常模式下難以遍歷到灰鴿子的檔案和模組，造成查殺上的困難。要卸載灰鴿子動態庫而且保證系統進程不崩潰也很麻煩，因此造成了近期灰鴿子在網際網路上泛濫的局面。

對於灰鴿子給社會帶來的種種危害，國內也有部分的團隊組織反灰鴿子，那么對灰鴿子做一系列的剿匪，

主要的反灰鴿子組織有，唯特科技，黑客基地等，其中的唯特科技出版了很多預防灰鴿子的視頻教程，建議網民多關注。

此類軟體被統稱為遠程控制類軟體(或黑客軟體、木馬軟體)，它們均為 C/S 結構(Client/Server，客戶機/伺服器)。軟體分為客戶端與服務端兩部分，客戶端即為控制端(由控制者使用)，服務端為被控制端(由被控制者使用)，依據服務端運行時是否會顯示明顯的運行標誌(即對方是否知道它運行有服務端)，可分為正邪兩派，邪派就是傳說中的黑客軟體、特洛伊木馬程式，是各大防毒軟體的首要目標。同類軟體原理服務端運行後，會在本機打開一個網路連線埠監聽客戶端的連線(時刻等待著客戶端的連線)，連線建立後，客戶端可用這個通道向服務端傳送命令並接收返回數據，即可實現遠程訪問。

a.“反彈連線埠原理”簡介

如果對方裝有防火牆，客戶端發往服務端的連線首先會被服務端主機上的防火牆攔截，使服務端程式不能收到連線，軟體不能正常工作。同樣，區域網路內通過代理上網的電腦，因為是多台共用代理伺服器的IP位址，而本機沒有獨立的網際網路的IP位址(只有區域網路的IP位址)，所以也不能正常使用。就是說傳統型的同類軟體不能訪問裝有防火牆和在區域網路內部的服務端主機。但往往是道高一尺、魔高一丈，不知哪位高人分析了防火牆的特性後發現：防火牆對於連入的連線往往會進行非常嚴格的過濾，但是對於連出的連線卻疏於防範。於是，與一般的軟體相反，反彈連線埠型軟體的服務端(被控制端)主動連線客戶端(控制端)，為了隱蔽起見，客戶端的監聽連線埠一般開在80(提供HTTP服務的連線埠)，這樣，即使用戶使用連線埠掃描軟體檢查自己的連線埠，發現的也是類似 TCP　UserIP:1026　ControllerIP:80 ESTABLISHED 的情況，稍微疏忽一點你就會以為是自己在瀏覽網頁(防火牆也會這么認為的)。看到這裡，也許有人會問：既然不能直接與服務端通信，那如何告訴服務端何時開始連線自己呢？答案是：通過主頁空間上的檔案實現的，當客戶端想與服務端建立連線時，它首先登錄到FTP伺服器，寫主頁空間上面的一個檔案，並打開連線埠監聽，等待服務端的連線，服務端定期用HTTP協定讀取這個檔案的內容，當發現是客戶端讓自己開始連線時，就主動連線，如此就可完成連線工作。本軟體用的就是這種“反彈連線埠”原理，可以穿過防火牆，甚至還能訪問區域網路內部的電腦。據作者所知，在同類軟體中，本軟體是唯一使用這種方法的，祝賀你！你幸運的選擇了它。

b.“HTTP隧道技術”簡介

簡單的來說，就是把所有要傳送的數據全部封裝到 HTTP 協定里進行傳送，就可以通過 HTTP、SOCKS4/5 代理，而且也不會有什麼防火牆會攔截。我們都知道其它木馬只能訪問撥接的服務端，而因為網路神偷使用了“反彈連線埠原理”所以它不僅能訪問撥接的服務端，更可以訪問區域網路里通過 NAT 代理(透明代理)上網的服務端。而使用“HTTP隧道技術”以後，它甚至可以訪問到區域網路里通過 HTTP、SOCKS4/5 代理上網的服務端。這樣，網路神偷就幾乎支持了所有的上網方式，也就是說“只要能瀏覽網頁的電腦，網路神偷都能訪問！”。網路神偷服務端支持以下上網方式：撥接、ISDN 、ADSL 、DDN 、Cable Modem 、NAT透明代理、HTTP的GET型代理、HTTP的CONNECT型代理、SOCKS4 代理、SOCKS4A 代理、SOCKS5 代理 ，上述上網方式下，均可正常工作。

上線通知原理：網際網路如此之大，覆蓋全球，我們如何標識並找到上面的任何一台電腦呢？答案是：IP位址，每台連網電腦都會被分配一個IP位址，這個IP位址是全球唯一的，就象你家的門牌號碼，別人可以根據這個找到你。同樣，IP位址分配是有規律的，可以根據IP位址分配表查出相應的地理位置(本軟體內置IP位址分配表)。現在大多數網際網路用戶是撥接的，撥接的IP位址是由ISP(網際網路接入服務提供商，例如163、169)動態分配的。兩台電腦想要連線就必須要知道對方的IP位址，就象想去你家串門就必須知道你的住址。因此，服務端如何把自己的IP位址告訴客戶端就成了一個大問題，也就是服務端上線通知。

現在最常用的方法是Email通知，即服務端上網後，傳送自己的IP位址到事先指定的信箱，客戶端使

用者只要去收信就行了。這種方面雖然最常用，但有很大不足，首先Email的實時性得不到保證，時慢時快，這與發信伺服器的線路質量有很大關係。其次，現在越來越多的發信伺服器設了“發信認證”功能，發信也要信箱的密碼(原來只有收信才要)，這就給服務端發信增加了困難，服務端不帶密碼無法傳送，帶密碼則有可能被別人破出來。

由於灰鴿子攔截了API調用，在正常模式下服務端程式檔案和它註冊的服務項均被隱藏，也就是說你即使設定了“顯示所有隱藏檔案”也看不到它們。此外，灰鴿子服務端的檔案名稱也是可以自定義的，這都給手工檢測帶來了一定的困難。

但是，通過仔細觀察我們發現，對於灰鴿子的檢測仍然是有規律可循的。從上面的運行原理分析可以看出，無論自定義的伺服器端檔案名稱是什麼，一般都會在作業系統的安裝目錄下生成一個以“_hook.dll”結尾的檔案。通過這一點，我們可以較為準確手工檢測出灰鴿子 服務端。

由於正常模式下灰鴿子會隱藏自身，因此檢測灰鴿子的操作一定要在安全模式下進行。進入安全模式的方法是：啟動計算機，在系統進入Windows啟動畫面前，按下F8鍵(或者在啟動計算機時按住Ctrl鍵不放)，在出現的啟動選項選單中，選擇“Safe Mode”或“安全模式”。

1．由於灰鴿子的檔案本身具有隱藏屬性，因此要設定Windows顯示所有檔案。打開“我的電腦”，選擇選單“工具”—》“資料夾選項”，點擊“查看”，取消“隱藏受保護的作業系統檔案”前的對勾，並在“隱藏檔案和資料夾”項中選擇“ 顯示所有檔案和資料夾”，然後點擊“確定”。

2．打開Windows的“搜尋檔案”，檔案名稱稱輸入“*_hook.dll”，搜尋位置選擇Windows的安裝目錄（默認98/xp為C:\windows，2k/NT為C:\Winnt）。

3．經過搜尋，我們在Windows目錄（不包含子目錄）下發現了一個名為Game_Hook.dll的檔案。

4．根據灰鴿子原理分析我們知道，如果Game_Hook.DLL是灰鴿子的檔案，則在作業系統安裝目錄下還會有Game.exe和Game.dll檔案。打開Windows目錄，果然有這兩個檔案，同時還有一個用於記錄鍵盤操作的GameKey.dll檔案。

經過這幾步操作我們基本就可以確定這些檔案是灰鴿子服務端了，下面就可以進行手動清除。

清除灰鴿子仍然要在安全模式下操作，主要有兩步：

1．清除灰鴿子的服務；

2．刪除灰鴿子程式檔案。

注意：為防止誤操作，清除前一定要做好備份。

（一）、清除灰鴿子的服務

注意清除灰鴿子的服務一定要在註冊表里完成，對註冊表不熟悉的網友請找熟悉的人幫忙操作，清除灰鴿子的服務一定要先備份註冊表，或者到純DOS下將註冊表檔案更名，然後再去註冊表刪除灰鴿子的服務。因為病毒會和EXE檔案進行關聯

2000/XP系統：

1．打開註冊表編輯器（點擊“開始”－》“運行”，輸入“Regedit.exe”，確定。），打開 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services註冊表項。

2．點擊選單“編輯”－》“查找”，“查找目標”輸入“game.exe”，點擊確定，我們就可以找到灰鴿子的服務項（此例為Game_Server，每個人這個服務項名稱是不同的）。

3．刪除整個Game_Server項。

98/me系統：

在9X下，灰鴿子啟動項只有一個，因此清除更為簡單。運行註冊表編輯器，打開HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run項，我們立即看到名為Game.exe的一項，將Game.exe項刪除即可。

（二）、刪除灰鴿子程式檔案

刪除灰鴿子程式檔案非常簡單，只需要在安全模式下刪除Windows目錄下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll檔案，然後重新啟動計算機。至此，灰鴿子VIP 2005服務端已經被清除乾淨。

以上介紹的方法適用於我們看到的大部分灰鴿子木馬及其變種，然而仍有極少數變種採用此種方法無法檢測和清除。同時，隨著灰鴿子新版本的不斷推出，作者可能會加入一些新的隱藏方法、防刪除手段，手工檢測和清除它的難度也會越來越大。

四、防止中灰鴿子病毒需要注意的事項

1． 給系統安裝補丁程式。通過Windows Update安裝好系統補丁程式(關鍵更新、安全更新和Service pack)，其中MS04-011、MS04-012、MS04-013、MS03-001、MS03-007、MS03-049、MS04-032等都被病毒廣泛利用，是非常必要的補丁程式

2． 給系統管理員帳戶設定足夠複雜足夠強壯的密碼，最好能是10位以上，字母+數字+其它符號的組合；也可以禁用/刪除一些不使用的帳戶

3． 經常更新防毒軟體（病毒庫），設定允許的可設定為每天定時自動更新。安裝併合理使用網路防火牆軟體，網路防火牆在防病毒過程中也可以起到至關重要的作用，能有效地阻擋自來網路的攻擊和病毒的入侵。部分盜版Windows用戶不能正常安裝補丁，這點也比較無奈，這部分用戶不妨通過使用網路防火牆來進行一定防護

4． 關閉一些不需要的服務，條件允許的可關閉沒有必要的共享，也包括C$、D$等管理共享。完全單機的用戶可直接關閉Server服務。

. 下載HijackThis掃描系統

與“熊貓燒香”病毒的“張揚”不同，“灰鴿子”更像一個隱形的賊，潛伏在用戶“家”中，監視用戶的一舉一動，甚至用戶與MSN、QQ好友聊天的每一句話都難逃“鴿”眼。專家稱，“熊貓燒香”還停留在對電腦自身的破壞，而“灰鴿子”已經發展到對“人”的控制，而被控者卻毫不知情。從某種意義上講，“灰鴿子”的危害及危險程度超出“熊貓燒香”10倍。

灰鴿子自身並不具備傳播性，一般通過捆綁的方式進行傳播。灰鴿子傳播的四大途徑：網頁傳播、郵件傳播、IM聊天工具傳播、非法軟體傳播。

1．網頁傳播：病毒製作者將灰鴿子病毒植入網頁中，用戶瀏覽即感染；

2．郵件傳播：灰鴿子被捆綁在郵件附屬檔案中進行傳播；

3.聊天工具傳播：通過即時聊天工具傳播攜帶灰鴿子的網頁連結或檔案。

4．非法軟體傳播：病毒製作者將灰鴿子病毒捆綁進各種非法軟體，用戶下載解壓安裝即感染。

以上他們做了命名規則解釋，去下載一個木馬殺客灰鴿子專殺,清理完後 需要重新啟動計算機 服務停止 然後去找那些殘留檔案，參見上面回答者

灰鴿子工作室於2003年初成立,定位於遠程控制、遠程管理、遠程監控軟體開發，主要產品為灰鴿子遠程控制系列軟體產品。灰鴿子工作室的軟體產品，均為商業化的遠程控制軟體，主要提供給網咖、企業及個人用戶進行電腦軟體管理使用；灰

鴿子軟體已獲得國家頒布的計算機軟體著作權登記證書，受著作權法保護。

然而，我們痛心的看到，目前網際網路上出現了利用灰鴿子遠程管理軟體以及惡意破解和篡改灰鴿子遠程管理軟體為工具的不法行為，這些行為嚴重影響了灰鴿子遠程管理軟體的聲譽，同時也擾亂了網路秩序。這完全違背了灰鴿子工作室的宗旨和開發灰鴿子遠程管理軟體的初衷。在此我們呼籲、勸告那些利用遠程控制技術進行非法行為的不法分子應立即停止此類非法活動。

應該表明的是，灰鴿子工作室自成立以來恪守國家法律和有關網路管理的規定，具有高度的社會責任感。為有效制止不法分子非法利用灰鴿子遠程管理軟體從事危害社會的非法活動，在此，我們鄭重聲明，自即日起決定全面停止對灰鴿子遠程管理軟體的開發、更新和註冊，以實際行動和堅定的態度來抵制這種非法利用灰鴿子遠程管理軟體的不法行為，並誠懇接受廣大網民的監督。

灰鴿子工作室譴責那些非法利用遠程控制技術實現非法目的的行為，對於此類行為，灰鴿子工作室發布了灰鴿子服務端卸載程式，以便於廣大網民方便卸載那些被非法安裝於自己計算機的灰鴿子服務端。