木馬概述

灰鴿子（ Huigezi），原本該軟體適用於公司和家庭管理，其功能十分強大，不但能監視攝像頭、鍵盤記錄、監控桌面、檔案操作等。還提供了黑客專用功能，如：偽裝系統圖示、隨意更換啟動項名稱和表述、隨意更換埠、執行後自刪除、毫無提示安裝等，並採用反彈連結這種缺陷設計，使得使用者擁有最高許可權，一經破解即無法控制。最終導致被黑客惡意使用。原作者的灰鴿子被定義為是一款集多種控制方式於一體的木馬程式。

自2001年，灰鴿子誕生之日起，就被反病毒專業人士判定為最具危險性的後門程式，並引發了安全領域的高度關注。2004年、2005年、2006年，灰鴿子木馬連續三年被國內各大防毒廠商評選為年度十大病毒，灰鴿子也因此聲名大噪，逐步成為媒體以及網民關注的焦點。

當使用者電腦“中馬”後，黑客就會擁有使用者電腦的最高管理許可權，包括隨意修改、竊取使用者電腦的檔案，監控電腦的鍵盤和螢幕、攝像頭等等。

2007年3月21日，灰鴿子工作室決定全面停止對灰鴿子遠端管理軟體的開發、更新和註冊，以實際行動和堅定的態度來抵制這種非法利用灰鴿子遠端管理軟體的不法行為，並誠懇接受廣大網民的監督。”此外，灰鴿子工作室還發布了灰鴿子服務端解除安裝程式。

木馬構成

“灰鴿子”木馬，由兩部分組成，一是控制端（主程式），一是服務端（也叫受控端）。任一部分都會被主流的防毒軟體查殺，但隨著其不斷衍生新的變種和一些免殺技巧經常繞過一些主動防禦軟體，使得使用者防不勝防。

黑客利用客戶端程式配置出服務端程式。可配置的資訊主要包括上線型別（如等待連線還是主動連線）、主動連線時使用的公網IP（域名）、連線密碼、使用的埠、啟動項名稱、服務名稱，程式隱藏方式，使用的殼，代理，圖示等等。

配置出來的服務端檔案檔名為G_Server.exe（這是預設的，當然也可以改變）。然後黑客利用一切辦法誘騙使用者執行G_Server.exe程式。

執行過程

G_Server.exe執行後將自己拷貝到Windows目錄下(98/xp下為系統盤的windows目錄，2k/NT下為系統盤的Winnt目錄)，然後再從體內釋放G_Server.dll和G_Server_Hook.dll到windows目錄下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三個檔案相互配合組成了灰鴿子服務端， G_Server_Hook.dll負責隱藏灰鴿子。通過截獲程式的API呼叫隱藏灰鴿子的檔案、服務的登錄檔項，甚至是程式中的模組名。截獲的函式主要是用來遍歷檔案、遍歷登錄檔項和遍歷程式模組的一些函式。所以，有些時候使用者感覺中了毒，但仔細檢查卻又發現不了什麼異常。有些灰鴿子會多釋放出一個名為G_ServerKey.dll的檔案用來記錄鍵盤操作。注意，G_Server.exe這個名稱並不固定，它是可以定製的，比如當定製服務端檔名為A.exe時，生成的檔案就是A.exe、A.dll和A_Hook.dll。

Windows目錄下的G_Server.exe檔案將自己註冊成服務（9X系統寫登錄檔啟動項），每次開機都能自動執行，執行後啟動G_Server.dll和G_Server_Hook.dll並自動退出。G_Server.dll檔案實現後門功能，與控制端客戶端進行通訊；G_Server_Hook.dll則通過攔截API呼叫來隱藏病毒。因此，中毒後看不到病毒檔案，也看不到病毒註冊的服務項。隨著灰鴿子服務端檔案的設定不同，G_Server_Hook.dll有時候附在Explorer.exe的程式空間中，有時候則是附在所有程式中。

傳播方式

灰鴿子自身並不具備傳播性，一般通過捆綁的方式進行傳播。灰鴿子傳播的四大途徑：網頁傳播、郵件傳播、IM聊天工具傳播、非法軟體傳播。

1. 網頁傳播：病毒製作者將灰鴿子病毒植入網頁中，使用者瀏覽即感染。
2. 郵件傳播：灰鴿子被捆綁在郵件附件中進行傳播。
3. 聊天工具傳播：通過即時聊天工具傳播攜帶灰鴿子的網頁連結或檔案。
4. 非法軟體傳播：病毒製作者將灰鴿子病毒捆綁進各種非法軟體，使用者下載解壓安裝即感染。

遠控實驗

實驗環境

Windows 機器兩臺，網路拓撲見下圖（主控端：10.1.1.228，被控端：10.1.1.40）：

開啟兩臺Windows 實驗臺，執行 Windows xp系統（請提前關閉防火牆，實驗中IP以實驗機中為準）。

控制端配置

(1）安裝HTTP伺服器

（2）執行HTTP伺服器，點選“Start”按鈕。

（3）配置FTP伺服器
進行如下配置：偵聽埠：21；最大連線：100；賬戶名稱及密碼：自行填寫；訪問目錄：為HTTP伺服器根目錄；設定好後點選“啟動服務”。

（4）生成被控端（即伺服器程式）
點選“更新IP”進行設定——FTP伺服器：填寫本機地址，埠：預設；使用者名稱及密碼：填寫FTP伺服器設定的使用者名稱及密碼；存放IP的檔案：預設；IP檔案內容：預設；最後點選“更新IP到FTP空間”。

檢視是否更新成功：

配置鴿子：點選“配置伺服器”——IP：填寫http://本地IP地址/ip.txt；安裝路徑：Windows目錄；安裝名稱：H_Srver.exe；連線密碼：1234；上線分組：線上主機。

點選“生成服務端”，將服務端程式放到指定目錄，點選“儲存”：

至此，成功生成服務端程式。

服務端配置

接下來需要將服務端程式從控制端主機拷貝至被控端主機（本實驗中使用檔案共享的方式）。

（1）在控制端主機桌面新建一個空資料夾True，將灰鴿子木馬的服務端程式拷貝到該資料夾中，並將其設定為共享資料夾：

（2）在被控制主機上訪問該共享資料夾，拷貝木馬程式的服務端到本機桌面：
（3）雙擊執行R_Server.exe檔案（注意不會彈出頁面），然後啟動Internet Explorer瀏覽器。
（4）關閉控制端主機的防火牆，輸入連線密碼1234，然後點選“應用改變”，主控端和被控端連線成功。

至此，主控端和被控端連線成功。

灰鴿子體驗

主控端和被控端連線成功後，我們就可以在主機上藉助灰鴿子客戶端對被控主機進行遠端控制了，下面來體驗一下。

螢幕監控

在主控端右擊當前線上主機，選擇“螢幕監控”，點選“啟動”，即可監控被控端螢幕，被控端螢幕如下：

裝置監控

右鍵選擇“裝置監控”，可進行視訊讀取、語音監聽等操作。

檔案控制

右鍵選擇“檔案管理”，找到一個檔案或資料夾，右鍵選擇“檔案（夾）下載至本地”，即可下載被控端檔案。

CMD操作

右鍵選擇“CMD操作”，輸入cmd命令可顯示結果。
灰鴿子木馬的對被控制主機的其他控制功能，如登錄檔管理、服務管理、程式管理等，此處不再介紹。