病毒简介

攻击者连接成功后便可 监控服务端屏幕，截获 oicq,icq, 及网络游戏，邮箱，上网账号等敏感信息，并且具有读写文件，修改注册表功能， 同时还可在服务端开启 Socks5 及 FTP 服务，是一种危险性较高的木马。

行为描述

拷贝服务端到系统，路径可能为 %System%, %Windows%, %temp% ，服务端名称可能为GrayPigeon.exe, GrayPigeon.bat, GrayPigeon, Winlogo.EXE, Windows.EXE,RAVMOND.EXE, SP00LSV.EXE, SVCH0ST.EXE

向注册表添加键值，随系统启动：

如果是 win9x 系统，将向 win.ini 中添加键值。

在随机端口开设后门，等待攻击者远程连接。

你可以去下个最新的MCAFEE来杀掉它，MCAFEE是灰鸽子的克星！

手动修改

1.若是98/me,重启进安全模式，若是2000/xp,用任务管理器结束Svch0st.exe进程（看清与系统进程svchost.exe名称上的区别，可别弄错了啊）。

2.运行杀毒软件进行全面扫描

3.删除以下键值：

1）

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

下的

\"svchost\"=\"%System%\\Svch0st.exe\"

\"winlogon\"=\"%System%\\Winlogon.exe\"