灰鴿子(Hack. Huigezi)是一個(gè)集多種控制方法于一體的木馬病毒，用戶電腦不幸感染，一舉一動(dòng)就都在黑客的監(jiān)控之下，竊取賬號(hào)、密碼、照片、重要文件都輕而易舉，下面學(xué)習(xí)啦小編為大家詳細(xì)的介紹下灰鴿子病毒，希望對(duì)你有幫助，謝謝。

　　灰鴿子病毒：

　　灰鴿子還可以連續(xù)捕獲遠(yuǎn)程電腦屏幕，還能監(jiān)控被控電腦上的攝像頭，自動(dòng)開機(jī)并利用攝像頭進(jìn)行錄像。截至2006年底，“灰鴿子”木馬已經(jīng)出現(xiàn)了6萬多個(gè)變種。合法情況下使用，它是一款優(yōu)秀的遠(yuǎn)程控制軟件。如果做一些非法的事，灰鴿子就成了強(qiáng)大的黑客工具?；银澴涌蛻舳撕头?wù)端采用Delphi編寫。黑客利用客戶端程序配置出服務(wù)端程序?？膳渲玫男畔⒅饕ㄉ暇€類型、主動(dòng)連接時(shí)使用的公網(wǎng)IP、連接密碼、使用的端口、啟動(dòng)項(xiàng)名稱、服務(wù)名稱，進(jìn)程隱藏方式，使用的殼，代理，圖標(biāo)等等。

　　中文學(xué)名灰鴿子

　　自2001年，灰鴿子誕生之日起，就被反病毒專業(yè)人士判定為最具危險(xiǎn)性的后門程序，并引發(fā)了安全領(lǐng)域的高度關(guān)注。2004年、2005年、2006年，灰鴿子木馬連續(xù)三年被國(guó)內(nèi)各大殺毒廠商評(píng)選為年度十大病毒，灰鴿子也因此聲名大噪，逐步成為媒體以及網(wǎng)民關(guān)注的焦點(diǎn)。人們?cè)谡痼@于灰鴿子給廣大電腦用戶帶來的危害的同時(shí)，不禁要問，灰鴿子是如何從一個(gè)模仿其他病毒開始，發(fā)展成為國(guó)內(nèi)極具影響的十大病毒、甚至毒王的呢?[1]

　　灰鴿子自2001年出現(xiàn)至今，主要經(jīng)歷了模仿期、飛速發(fā)展期以及全民黑客時(shí)代三大階段。

　　灰鴿子服務(wù)端加殼之后僅有70kb，比葛軍的灰鴿子小了近10倍。國(guó)家多線程上線分組?？梢暬h(yuǎn)程開戶?？梢远氵^主流管理員的檢測(cè)方式。隱蔽性強(qiáng)。

　　模仿期飛速發(fā)展期全民黑客時(shí)代

　　2001年-2003年2004年-2005年2006年-2007年

　　模仿期

　　(2001年-2003年)

　　2001年，國(guó)內(nèi)互聯(lián)網(wǎng)逐步走向普及，網(wǎng)絡(luò)病毒也伴隨著互聯(lián)網(wǎng)的發(fā)展日益取代傳統(tǒng)意義上的病毒，而到了2002年，以“電子郵件”、“網(wǎng)絡(luò)下載和瀏覽”等方式傳播的病毒開始大量涌現(xiàn)，互聯(lián)網(wǎng)安全成為大眾關(guān)注的焦點(diǎn)。[2]

　　與此同時(shí)，隨著網(wǎng)絡(luò)的普及，人們已經(jīng)可以足不出戶的工作和學(xué)習(xí)，SOHO越來越受到人們的青睞。有了網(wǎng)絡(luò)我們可以在城市的一邊使用計(jì)算機(jī)控制另外一邊的計(jì)算機(jī)，從而不用我們花費(fèi)大量精力親自到機(jī)房操作服務(wù)器，遠(yuǎn)程控制管理軟件也由此誕生。

　　2002年，遠(yuǎn)程控制軟件已經(jīng)步入了成熟階段，是網(wǎng)管人員必備的工具。但同時(shí)一些帶有惡意行為的遠(yuǎn)程控制軟件(后門)也在互聯(lián)網(wǎng)中流傳，其中國(guó)內(nèi)最為著名的就是“冰河”木馬后門。“冰河”在當(dāng)時(shí)被泛濫的用于控制各種網(wǎng)絡(luò)服務(wù)器，在黑客成功攻陷一個(gè)服務(wù)器后，都會(huì)被安裝上“冰河”的服務(wù)端，2002年的中國(guó)10大病毒中，位列第三位。

　　而灰鴿子最早出現(xiàn)的時(shí)候就是在模仿“冰河”。“灰鴿子”是2001年出現(xiàn)的，采用Delphi編寫，最早并未以成品方式發(fā)布，更多的是以技術(shù)研究的姿態(tài)，采用了源碼共享的方式出現(xiàn)在互聯(lián)網(wǎng)，至今仍可搜索到“灰鴿子”早期版本的源碼。“灰鴿子”在出現(xiàn)的時(shí)候使用了當(dāng)時(shí)討論最多的“反彈端口”連接方式，用以躲避大多數(shù)個(gè)人網(wǎng)絡(luò)防火墻的攔截。“灰鴿子”在當(dāng)時(shí)的名氣不及“冰河”，因此只出現(xiàn)了少量的感染，但其開放源碼的方式也讓“灰鴿子”逐漸增大了傳播量。

　　灰鴿子出現(xiàn)后以源碼開放，所以出現(xiàn)多種不同的版本，由于服務(wù)端都以隱藏方式啟動(dòng)，就奠定了其惡意后門木馬的地位，當(dāng)時(shí)，以金山毒霸為首的大部分安全廠商將對(duì)用戶上報(bào)和監(jiān)測(cè)到的“灰鴿子”服務(wù)端都認(rèn)定為“黑客程序”，并堅(jiān)決查殺，在一定程度上遏制了灰鴿子的發(fā)展速度。

　　飛速發(fā)展期

　　(2004年-2005年)

　　從2004年至2005年，中國(guó)互聯(lián)網(wǎng)化進(jìn)程飛速發(fā)展，大量的商業(yè)動(dòng)作實(shí)現(xiàn)了互聯(lián)網(wǎng)化，電子商務(wù)成為普通網(wǎng)民進(jìn)行消費(fèi)的選擇之一，網(wǎng)絡(luò)游戲在中國(guó)大地全面開花。在這樣的年代下，計(jì)算機(jī)病毒也逐步轉(zhuǎn)向了以經(jīng)濟(jì)利益為中心的方向發(fā)展。大量通過IM(即時(shí)通訊軟件)傳播的木馬/黑客/病毒，它們不擇手段的從用戶系統(tǒng)中盜取網(wǎng)銀帳號(hào)、網(wǎng)游帳號(hào)及密碼。這些病毒給中國(guó)互聯(lián)網(wǎng)提出了新的考驗(yàn)——用戶的網(wǎng)絡(luò)虛擬資產(chǎn)正在受到威脅。[3]

　　也就在2004和2005這兩年之間，灰鴿子逐步進(jìn)入了成熟的狀態(tài)，由于源碼的釋放，大量變種在互聯(lián)網(wǎng)中衍生。2004年灰鴿子總共發(fā)現(xiàn)了1000多變種，而在2005年，這個(gè)數(shù)字迅速上升到了3000多。“灰鴿子”最大的危害在于替伏在用戶系統(tǒng)中，由于其使用的“反彈端口”原理，一些在局域網(wǎng)(企業(yè)網(wǎng))中的用戶也受到了“灰鴿子”的侵害，使得受害用戶數(shù)大大提高，2004年的感染統(tǒng)計(jì)表現(xiàn)為103483人，而到2005年數(shù)字攀升到890321人。“灰鴿子”本身所具備的鍵盤記錄、屏幕捕捉、文件上傳下載和運(yùn)行、攝像頭控制等功能，將使用戶沒任何隱私可言，更可怕的是服務(wù)端高度隱藏自己，是受害者無從得知感染此病毒。

　　2005年，金山毒霸針對(duì)病毒泛濫，特別是像“灰鴿子”這樣一類惡性木馬，采取了嚴(yán)打的措施，提高病毒庫升級(jí)周期，加強(qiáng)應(yīng)急處理流程，而在技術(shù)上積極研究對(duì)策，最大限度的減少“灰鴿子”給用戶帶來的危害。

　　全民黑客時(shí)代

　　(2006年-2007年)

　　2006年，電腦病毒呈爆炸式增長(zhǎng)，360云安全中心共截獲新增病毒樣本總計(jì)681428種，其中木馬病毒新增數(shù)占總病毒新增數(shù)的73%，高達(dá)175313種;隨著計(jì)算機(jī)技術(shù)的普及，由于制作工具的泛濫，病毒變種增多病毒的制作也逐漸呈現(xiàn)商業(yè)化的運(yùn)作。某些制作者小組甚至可以根據(jù)使用者的要求為其提供針對(duì)特定目標(biāo)的專門版本。病毒程序的模塊化使得病毒制作的門檻降低，很多具備一定計(jì)算機(jī)知識(shí)的用戶可以根據(jù)自己的需要對(duì)其自行組合。因此2006年病毒的變種迅速增加，以典型的“灰鴿子”木馬為例，高峰時(shí)期幾乎每天增加10余個(gè)不同變種，迄今為止共出現(xiàn)了6萬余種變種，并連續(xù)三年榮登國(guó)內(nèi)10大病毒排行榜。而且這類木馬往往通過自我升級(jí)功能頻繁的進(jìn)行更新以對(duì)抗反病毒軟件。

　　2007年2月23日，灰鴿子2007 beta2版本發(fā)布。該版本的隱形性更強(qiáng)，可以任意插入常見的程序，比如QQ，下載工具等等，程序性能也得到提升，可以同時(shí)監(jiān)視多個(gè)目標(biāo)主機(jī)，并對(duì)遠(yuǎn)程監(jiān)視的計(jì)算機(jī)進(jìn)行如下操作：編輯注冊(cè)表;上傳下載文件;查看系統(tǒng)信息、進(jìn)程、服務(wù);查看操作窗口、記錄鍵盤、修改共享、開啟代理服務(wù)器、命令行操作、監(jiān)視遠(yuǎn)程屏幕、操控遠(yuǎn)程語音視頻設(shè)備、關(guān)閉、重啟機(jī)器等。而由于灰鴿子采取了直接進(jìn)程注入方式，利用HOOK API的方式實(shí)現(xiàn)病毒文件及病毒進(jìn)程的隱藏，所有盜取用戶信息的操作，遠(yuǎn)程計(jì)算機(jī)的操作人員可能毫不知情。由于操作簡(jiǎn)單且可視化，所以比較流行，但對(duì)網(wǎng)絡(luò)帶寬要求比較高，相對(duì)于其它“黑客”程序程序比較龐大。

　　發(fā)展到今天，灰鴿子已經(jīng)不僅僅是一個(gè)病毒如此簡(jiǎn)單，其背后已經(jīng)形成了一條黑色的產(chǎn)業(yè)鏈條，任何一個(gè)網(wǎng)絡(luò)菜鳥都可以通過購買灰鴿子病毒、拜灰鴿子高手為師而成為黑客，可以說，灰鴿子病毒演變到今天，已經(jīng)催生了全民黑客時(shí)代的到來。

　　灰鴿子普通網(wǎng)民很難了解到在他們的生活之外竟然有一個(gè)如此完整的制造、販賣病毒的“生態(tài)圈”。瀏覽各大網(wǎng)絡(luò)論壇，購買、出售灰鴿子木馬的人比比皆是，而購買灰鴿子教程、批量出售被灰鴿子控制的“肉雞”、企圖利用灰鴿子進(jìn)行不法勾當(dāng)?shù)娜烁菙?shù)不勝數(shù)。尤其是伴隨著灰鴿子2007的推出，這種不正之風(fēng)正在互聯(lián)網(wǎng)迅速蔓延，灰鴿子的猖獗已經(jīng)到了不得不管的地步!

　　2病毒簡(jiǎn)介編輯

　　(1)客戶端簡(jiǎn)易便捷的操作使剛?cè)腴T的初學(xué)者都能充當(dāng)黑客。當(dāng)使用在合法情況下時(shí)，灰鴿子是一款優(yōu)秀的遠(yuǎn)程控制軟件。但如果拿它做一些非法的事，灰鴿子就成了很強(qiáng)大的黑客工具。這就好比火藥，用在不同的場(chǎng)合，給人類帶來不同的影響。對(duì)灰鴿子完整的介紹也許只有灰鴿子作者本人能夠說清楚，在此我們只能進(jìn)行簡(jiǎn)要介紹。

　　灰鴿子灰鴿子客戶端和服務(wù)端都是采用Delphi編寫。黑客利用客戶端程序配置出服務(wù)端程序?？膳渲玫男畔⒅饕ㄉ暇€類型(如等待連接還是主動(dòng)連接)、主動(dòng)連接時(shí)使用的公網(wǎng)IP(域名)、連接密碼、使用的端口、啟動(dòng)項(xiàng)名稱、服務(wù)名稱，進(jìn)程隱藏方式，使用的殼，代理，圖標(biāo)等等。

　　服務(wù)端對(duì)客戶端連接方式有多種，使得處于各種網(wǎng)絡(luò)環(huán)境的用戶都可能中毒，包括局域網(wǎng)用戶(通過代理上網(wǎng))、公網(wǎng)用戶和ADSL撥號(hào)用戶等。

　　因涉及互聯(lián)網(wǎng)安全法律糾紛問題，自2007年3月21日起灰鴿子已全面停止開發(fā)和注冊(cè)。互聯(lián)網(wǎng)上現(xiàn)存灰鴿子版本為以前所開發(fā)灰鴿子軟件及其修改版。

　　(2)作者葛軍(1982-? )安徽潛山人，灰鴿子工作室管理員，精通Delphi、ASP、數(shù)據(jù)庫編程，2001年首次將反彈連接應(yīng)用在遠(yuǎn)程控制軟件上，隨后掀起了國(guó)內(nèi)遠(yuǎn)程控制軟件使用反彈連接的熱潮，2005年4月，將虛擬驅(qū)動(dòng)技術(shù)應(yīng)用到灰鴿子屏幕控制上，使灰鴿子的屏幕控制達(dá)到了國(guó)際先進(jìn)水平。

　　葛軍，“灰鴿子工作室”的創(chuàng)辦者，一個(gè)低調(diào)而又引人注目的程序員。

　　(3)服務(wù)端：

　　配置出來的服務(wù)端文件文件名為G_Server.exe(這是默認(rèn)的，當(dāng)然也可以改變)。然后黑客利用一切辦法誘騙用戶運(yùn)行G_Server.exe程序。

　　G_Server.exe運(yùn)行后將自己拷貝到Windows目錄下(98/xp下為系統(tǒng)盤的windows目錄，2k/NT下為系統(tǒng)盤的Winnt目錄)，然后再從體內(nèi)釋放G_Server.dll和G_Server_Hook.dll到windows目錄下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三個(gè)文件相互配合組成了灰鴿子服務(wù)端， G_Server_Hook.dll負(fù)責(zé)隱藏灰鴿子。通過截獲進(jìn)程的API調(diào)用隱藏灰鴿子的文件、服務(wù)的注冊(cè)表項(xiàng)，甚至是進(jìn)程中的模塊名。截獲的函數(shù)主要是用來遍歷文件、遍歷注冊(cè)表項(xiàng)和遍歷進(jìn)程模塊的一些函數(shù)。所以，有些時(shí)候用戶感覺中了毒，但仔細(xì)檢查卻又發(fā)現(xiàn)不了什么異常。有些灰鴿子會(huì)多釋放出一個(gè)名為G_ServerKey.dll的文件用來記錄鍵盤操作。注意，G_Server.exe這個(gè)名稱并不固定，它是可以定制的，比如當(dāng)定制服務(wù)端文件名為A.exe時(shí)，生成的文件就是A.exe、A.dll和A_Hook.dll。

　　灰鴿子Windows目錄下的G_Server.exe文件將自己注冊(cè)成服務(wù)(9X系統(tǒng)寫注冊(cè)表啟動(dòng)項(xiàng))，每次開機(jī)都能自動(dòng)運(yùn)行，運(yùn)行后啟動(dòng)G_Server.dll和G_Server_Hook.dll并自動(dòng)退出。G_Server.dll文件實(shí)現(xiàn)后門功能，與控制端客戶端進(jìn)行通信;G_Server_Hook.dll則通過攔截API調(diào)用來隱藏病毒。因此，中毒后，我們看不到病毒文件，也看不到病毒注冊(cè)的服務(wù)項(xiàng)。隨著灰鴿子服務(wù)端文件的設(shè)置不同，G_Server_Hook.dll有時(shí)候附在Explorer.exe的進(jìn)程空間中，有時(shí)候則是附在所有進(jìn)程中。

　　灰鴿子的作者對(duì)于如何逃過殺毒軟件的查殺花了很大力氣。由于一些API函數(shù)被截獲，正常模式下難以遍歷到灰鴿子的文件和模塊，造成查殺上的困難。要卸載灰鴿子動(dòng)態(tài)庫而且保證系統(tǒng)進(jìn)程不崩潰也很麻煩，因此造成了近期灰鴿子在互聯(lián)網(wǎng)上泛濫的局面。
看了此文電腦病毒“灰鴿子”的人還看了：

1.怎么清除灰鴿子病毒

2.電腦病毒嚴(yán)重性和處罰

3.關(guān)于電腦病毒的論文

4.世界上20大電腦病毒

5.典型計(jì)算機(jī)病毒的相關(guān)介紹