一、厉害之处

　　⒈马儿健壮

　　主流的杀毒软件竟然无法查杀灰鸽子。笔者使用的是国内某知名杀毒软件的最新版，不论是灰鸽子的服务端程序还是客户端程序，这个杀毒软件均不报警。用灰鸽子的屏幕捕获功能发现，被控制的20多台肉鸡绝大多数都运行着杀毒软件，这些杀毒软件基本上囊括了国内以及国际上主流的杀毒软件。笔者给一个被控制的肉鸡发了一个文本消息，吓得他用杀毒软件和包括木马克星在内的各种杀马软件扫描电脑，然而遗憾的是，直到现在笔者还用灰鸽子控制着他。

　　⒉端口反弹，天网防火墙形同虚设

　　笔者的电脑上安装了最新版本的天网防火墙，在玩灰鸽子的过程中，一不小心，笔者在自己的电脑上运行了灰鸽子的服务端程序，然而，天网防火墙却没有任何报警。

　　天网防火墙对本地应用程序访问网络的请求管理的不是太严格，而且对已信任的程序访问网络的连接不做任何报警。灰鸽子是一款反弹端口的木马，和传统的木马不一样的是它不监听一个端口等待客户端来连接自己，而是自己以IE浏览器的身份主动去连接客户端，而IE浏览器是天网防火墙默认的已信任程序，所以灰鸽子能够轻易“穿透”天网防火墙。因为灰鸽子是以IE浏览器的身份去访问网络的，而任何防火墙都不会限制IE浏览器浏览网页，所以从理论上来讲，灰鸽子能“穿透”任何防火墙，这一点，鄙人通过已控制的20多台肉鸡得到了证实。

　　端口反弹木马的工作原理：在传输层，和传统的木马恰恰相反，被控端（服务端）执行客户端的命令，但它不监听一个端口，而是主动去连接客户端；客户端给服务端下达命令，但它不主动去连接服务端，而是开一个端口监听服务端的连接。

　　⒊反向连接，被控制电脑“自动上线”

　　灰鸽子是反向连接的木马，也就是说，被控制电脑会主动连接控制端电脑。冰河、BO 2000这些传统的木马要连接被控端电脑必须告知客户端被控电脑的IP地址和端口等信息，而灰鸽子则不同，灰鸽子的客户端启动后，被控制电脑会争先连接到客户端，灰鸽子使用了语音提示的功能，当一台被控制的电脑连接到客户端后，一个标准的女中音会提示：有主机上线，请注意！听着这一声声提示，看着被控制的电脑自动地纷纷出现在“自动上线的主机”列表中（如图1），笔者在想：马儿实在是太可怕了！

图1 灰鸽子服务器端

　　⒋客户端程序，能够自定义服务端。

　　灰鸽子的服务端安装程序由客户端根据自定义设置自动生成。能够自定义的项目包括：服务端安装成功后是否删除安装程序；是否在任务管理器中隐藏进程；是否在注册表中加入启动键项。

　　另外，在Windows 2000/XP的系统中还可以选择安装成自动启动的服务，服务名称（包括服务的显示名称）可以修改，安装程序的图标也可以选择（自定义服务端是灰鸽子比较重要的特点，在下文中，对它自定义的项目还会提及）。

图2 诱惑下掩藏着危险

　　如图2所示，这是笔者自定义的灰鸽子服务端的安装程序，从表面上看，它就是一本“e书时空”的电子书，但实际上，只要双击了它，您即可在笔者的“自动上线”里而被控制。笔者把这一电子书共享在一个P2P软件中，不到一个下午的功夫，“自动上线”的主机竟然达到了25台之多。

　　⒌集大成者，良好的隐藏性使其他后门相形见绌。

　　比起前辈冰河、黑洞等，从功能上来说，灰鸽子可以说是国内木马的集大成者，大部分木马使用的控制功能它都具备：

　　1)模枋Windows资源管理器，可以对被控制电脑上的文件进行复制、粘贴、删除、重命名、远程运行等,可以上传下载文件或文件夹,操作简单易用；

　　2)可以查看被控制电脑的系统信息、剪切板上的信息等；可以远程操作被控制电脑的进程、服务；可以远程禁用被控制电脑的共享和创建新的共享，还可以把被控制电脑设置为一台代理服务器；

　　3)不但可以连继的捕获远程电脑屏幕，还能把本地的鼠标及键盘操作传送到被控制电脑，实现远程实时控制功能；

　　4)可以监控被控电脑上的摄像头,还有语音监听和发送功能，可以和被控电脑进行语音对话。

　　5)灰鸽子还能模拟注册表编辑器，操作远程注册表就像操作本地注册表一样方便；

　　6)命令广播，如关机、重启或打开网页等，这样单击一个按钮就可以让多台机器同时关机、重启或打开网页等。

　　灰鸽子除了以上的功能外，它的隐藏性和自我保护也是其它木马不可比拟的。它的文件是隐藏的，进程也是隐藏的，您在任务管理器中也找不到它的踪迹。

　　朋友们，经过上面的介绍，您是否也和笔者一样感觉到了灰鸽子的厉害之处。虽然杀毒软件和防火墙拿它没办法，但电脑还是要用的，网还是要上的，文件还是要下载的。不要害怕，下面，就一起来发现它并铲除它。

　　二、发现灰鸽子

　　从目前的状况来说，基本上所有的杀毒软件都不能即时查杀灰鸽子，而灰鸽子又文件隐藏，进程隐藏，唯一能够被看到的是它在Windows“服务”窗口中的服务，但是他的服务名称，服务的显示名称黑客又都可以自定义。如图3所示，这是灰鸽子笔者误安装在自己电脑上的服务名称，不论是灰鸽子的文件名（文件名黑客也可以自定义），还是服务名称或者是该服务的描述，都非常具有迷惑性，对不熟悉Windows服务的一般用户来说，像这样的服务，岂敢禁用或删除。所以说，用一般的方法根本无法确定灰鸽子的存在。

图3 自定义的灰鸽子进程服务

　　那么怎样才能发现灰鸽子呢？下面是笔者的经验：

　　⒈根据笔者的经验，目前能够发现灰鸽子行之有效的办法还是使用天网防火墙。天网防火虽然不能拦截灰鸽子和外部的通信，但是天网防火墙能够显示本机与外部通信的所有连接。IE浏览器与服务器的80端口通讯，只有当您打开一个网页时，它才会与众多服务器连接以显示网页上的资源，而灰鸽子服务端则不同，不论您访问网页还是不访问网页，只要黑客启动了客户端并监听一个端口（这个端口黑客也能自定义，默认的监听端口是8000），它就总以IE浏览器的身份主动连接到这个端口（如果客户端没有启动，它会每隔一段时间尝试连接一次）。所以说，如果您没有使用IE浏览网页，而您的IE浏览器有长时间连接到同一个主机的某一端口（如图4），那么就可以初步断定，发起这些连接的绝对不是IE浏览器，十有八九它就是灰鸽子。

[1] [2] 下一页