浅析灰鸽子的防范与清除

偶尔得到了一款灰鸽子2.02 VIP版，试用了半天竟然控制了20多台肉鸡，看着这些肉鸡任由宰割，笔者异常兴奋，不仅由衷地感叹道——这个马儿太厉害！

一、厉害之处

⒈马儿健壮

主流的杀毒软件竟然无法查杀灰鸽子。笔者使用的是国内某知名杀毒软件的最新版，不论是灰鸽子的服务端程序还是客户端程序，这个杀毒软件均不报警。用灰鸽子的屏幕捕获功能发现，被控制的20多台肉鸡绝大多数都运行着杀毒软件，这些杀毒软件基本上囊括了国内以及国际上主流的杀毒软件。笔者给一个被控制的肉鸡发了一个文本消息，吓得他用杀毒软件和包括木马克星在内的各种杀马软件扫描电脑，然而遗憾的是，直到现在笔者还用灰鸽子控制着他。

⒉端口反弹，天网防火墙形同虚设

笔者的电脑上安装了最新版本的天网防火墙，在玩灰鸽子的过程中，一不小心，笔者在自己的电脑上运行了灰鸽子的服务端程序，然而，天网防火墙却没有任何报警。

天网防火墙对本地应用程序访问网络的请求管理的不是太严格，而且对已信任的程序访问网络的连接不做任何报警。灰鸽子是一款反弹端口的木马，和传统的木马不一样的是它不监听一个端口等待客户端来连接自己，而是自己以IE浏览器的身份主动去连接客户端，而IE浏览器是天网防火墙默认的已信任程序，所以灰鸽子能够轻易“穿透”天网防火墙。因为灰鸽子是以IE浏览器的身份去访问网络的，而任何防火墙都不会限制IE浏览器浏览网页，所以从理论上来讲，灰鸽子能“穿透”任何防火墙，这一点，鄙人通过已控制的20多台肉鸡得到了证实。

端口反弹木马的工作原理：在传输层，和传统的木马恰恰相反，被控端（服务端）执行客户端的命令，但它不监听一个端口，而是主动去连接客户端；客户端给服务端下达命令，但它不主动去连接服务端，而是开一个端口监听服务端的连接。

⒊反向连接，被控制电脑“自动上线”

灰鸽子是反向连接的木马，也就是说，被控制电脑会主动连接控制端电脑。冰河、BO 2000这些传统的木马要连接被控端电脑必须告知客户端被控电脑的IP地址和端口等信息，而灰鸽子则不同，灰鸽子的客户端启动后，被控制电脑会争先连接到客户端，灰鸽子使用了语音提示的功能，当一台被控制的电脑连接到客户端后，一个标准的女中音会提示：有主机上线，请注意！听着这一声声提示，看着被控制的电脑自动地纷纷出现在“自动上线的主机”列表中（如图1），笔者在想：马儿实在是太可怕了！

⒋客户端程序，能够自定义服务端。

灰鸽子的服务端安装程序由客户端根据自定义设置自动生成。能够自定义的项目包括：服务端安装成功后是否删除安装程序；是否在任务管理器中隐藏进程；是否在注册表中加入启动键项。

另外，在Windows 2000/XP的系统中还可以选择安装成自动启动的服务，服务名称（包括服务的显示名称）可以修改，安装程序的图标也可以选择（自定义服务端是灰鸽子比较重要的特点，在下文中，对它自定义的项目还会提及）。

图2 诱惑下掩藏着危险

如图2所示，这是笔者自定义的灰鸽子服务端的安装程序，从表面上看，它就是一本“e书时空”的电子书，但实际上，只要双击了它，您即可在笔者的“自动上线”里而被控制。笔者把这一电子书共享在一个P2P软件中，不到一个下午的功夫，“自动上线”的主机竟然达到了25台之多。

⒌集大成者，良好的隐藏性使其他后门相形见绌。

比起前辈冰河、黑洞等，从功能上来说，灰鸽子可以说是国内木马的集大成者，大部分木马使用的控制功能它都具备：

1)模枋Windows资源管理器，可以对被控制电脑上的文件进行复制、粘贴、删除、重命名、远程运行等,可以上传下载文件或文件夹,操作简单易用；

2)可以查看被控制电脑的系统信息、剪切板上的信息等；可以远程操作被控制电脑的进程、服务；可以远程禁用被控制电脑的共享和创建新的共享，还可以把被控制电脑设置为一台代理服务器；

3)不但可以连继的捕获远程电脑屏幕，还能把本地的鼠标及键盘操作传送到被控制电脑，实现远程实时控制功能；

4)可以监控被控电脑上的摄像头,还有语音监听和发送功能，可以和被控电脑进行语音对话。

5)灰鸽子还能模拟注册表编辑器，操作远程注册表就像操作本地注册表一样方便；

6)命令广播，如关机、重启或打开网页等，这样单击一个按钮就可以让多台机器同时关机、重启或打开网页等。

灰鸽子除了以上的功能外，它的隐藏性和自我保护也是其它木马不可比拟的。它的文件是隐藏的，进程也是隐藏的，您在任务管理器中也找不到它的踪迹。

朋友们，经过上面的介绍，您是否也和笔者一样感觉到了灰鸽子的厉害之处。虽然杀毒软件和防火墙拿它没办法，但电脑还是要用的，网还是要上的，文件还是要下载的。不要害怕，下面，就一起来发现它并铲除它。