病毒发展

诞生期

体积仅70kb隐蔽性更强

自2001年，灰鸽子诞生之日起，就被反病毒专业人士判定为最具危险性的后门程序，并引发了安全领域的高度关注。2004年、2005年、2006年，灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒，灰鸽子也因此声名大噪，逐步成为媒体以及网民关注的焦点。

灰鸽子自2001年出现至今，主要经历了模仿期、飞速发展期以及全民骇客时代三大阶段。

灰鸽子2011出现变种。服务端加壳之后仅有70kb，比葛军的灰鸽子小了近10倍。国家多线程上线分组。可视化远程开户。可以躲过主流管理员的检测方式，隐蔽性强。

模仿期

1/3

“灰鸽子”是2001年出现的，采用Delphi编写，最早并未以成品方式发布，更多的是以技术研究的姿态，采用了源码共享的方式出现在互联网，至今仍可搜索到“灰鸽子”早期版本的源码。“灰鸽子”在出现的时候使用了当时讨论最多的“反弹端口”连接方式，用以躲避大多数个人网络防火墙的拦截。“灰鸽子”在当时的名气不及“冰河”，因此只出现了少量的感染，但其开放源码的方式也让“灰鸽子”逐渐增大了传播量。灰鸽子出现后以源码开放，所以出现多种不同的版本，由于服务端都以隐藏方式启动，就奠定了其恶意后门木马的地位。

飞速发展期

灰鸽子产业链示意图

2004和2005这两年之间，灰鸽子逐步进入了成熟的状态，由于源码的释放，大量变种在互联网中衍生。2004年灰鸽子总共发现了1000多变种，而在2005年，这个数字迅速上升到了3000多。“灰鸽子”最大的危害在于潜伏在用户系统中，由于其使用的“反弹端口”原理，一些在局域网（企业网）中的用户也受到了“灰鸽子”的侵害，使得受害用户数大大提高，2004年的感染统计表现为103483人，而到2005年数字攀升到890321人。“灰鸽子”本身所具备的键盘记录、屏幕捕捉、文件上传下载和运行、摄像头控制等功能，将使用户没任何隐私可言，更可怕的是服务端高度隐藏自己，是受害者无从得知感染此病毒3。

病毒机理

病毒构成

配置出来的服务端文件文件名为G_Server.exe（这是默认的，当然也可以改变）。然后黑客利用一切办法诱骗用户运行G_Server.exe程序。

运行过程

灰鸽子病毒

G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录，2k/NT下为系统盘的Winnt目录)，然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端， G_Server_Hook.dll负责隐藏灰鸽子。通过截获进程的API调用隐藏灰鸽子的文件、服务的注册表项，甚至是进程中的模块名。截获的函数主要是用来遍历文件、遍历注册表项和遍历进程模块的一些函数。所以，有些时候用户感觉中了毒，但仔细检查却又发现不了什么异常。有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意，G_Server.exe这个名称并不固定，它是可以定制的，比如当定制服务端文件名为A.exe时，生成的文件就是A.exe、A.dll和A_Hook.dll。

Windows目录下的G_Server.exe文件将自己注册成服务（9X系统写注册表启动项），每次开机都能自动运行，运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能，与控制端客户端进行通信；G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此，中毒后，我们看不到病毒文件，也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同，G_Server_Hook.dll有时候附在Explorer.exe的进程空间中，有时候则是附在所有进程中。