国产新木马──灰鸽子

网络与通信

肖庆涛

灰鸽子是新出现的一款国产木马软件，由服务器端“P_Server.exe”和客户端“P_Client.exe”构成。其服务器端伪装成文本文件的图标，误运行后，会打开受害机的8225端口。

一、主要危害

1.硬盘定时炸弹

到了预定的时间后，会自动删除受害机的系统启动文件或者快速格式化硬盘或分区。

2.截取密码和动态IP

灰鸽子可以截取受害机的QQ自动登录密码、拨号网络缓存密码等，还可以侦测受害机上网时的动态IP地址，并将它发送到控制者指定的信箱。

3.模拟注册表编辑

灰鸽子的客户端附带一个与Windows注册表编辑器几乎一样的模拟注册表编辑器，控制者可以通过它轻松地对远端受害机的注册表进行访问和恶意修改。

4.语音监听功能

如果受害机带有声卡、话筒，那么它们也将成为灰鸽子监听的对象。

5.强大的DOS控制台

Windows系统自带的一些DOS下的网络命令：如Ping、Net、Netstat、Telnet等常常被黑客用作入侵工具。灰鸽子将这些命令做了集成和简化，只需要选择命令、填上参数再执行即可。如果你用的是Win2000或者WinNT，黑客可以在窃取你的管理员密码以后配合上述命令，轻松地将你的电脑变成入侵其他电脑的“肉鸡”，无辜地成为他们的替罪羊！

二、防治方法

灰鸽子是今年编写的，直到6月份左右才有杀毒软件宣称可以对它进行查杀。以金山毒霸为例，可查杀灰鸽子的病毒库的日期为2002年6月11日。灰鸽子在其中被命名为“Hack.QQ Server.264819”。
要在业余条件下检查电脑是否中了灰鸽子，可以在Windows的DOS提示符下键入命令“netstat -a”后回车，观察显示结果中是否有被灰鸽子打开的端口号“8225”的字样，有则很可能中了灰鸽子。
在默认的配置下，灰鸽子服务器端的名称、运行、隐藏及关联发作方式均与著名的冰河完全一样，因此大家不幸中了灰鸽子，又没有最新的杀毒软件，可以尝试对它进行手工清除：
1.打开注册表编辑器，查找字符串“Kernel32.exe”，总共有3处。找到后将它所在的键名(一般为“LoadWindows”)删掉。
2.重启系统后选择安全模式，进入Windows\System目录(若使用Win2000或WinNT，则为WinNT\System32目录)中，将其中的程序“Kernel32.exe”删除即可。如果服务器端程序配置了其他名称也没有关系，结合上述的方法稍加分析即可轻松搞定。
如果受害者能找到灰鸽子的客户端程序，那就更简单了。运行后，连接本机IP(127.0.0.1)，打开“命令控制台”，找到“控制类命令→系统控制”，再按下右边窗口的“自动卸载”即可。