一、灰鸽子病毒事件

小白：东哥，我最近得到了一个新东西，可以远程控制我的家电，比如空调、电视、冰箱……

大东：嗯，这很好！

通过手机远程控制空调。图片来自网络

小白：是的，最方便的就是有手机和WIFI就可以实现远程控制功能。

大东：等等，便利往往隐藏着“邪恶”。 一定要小心灰鸽子病毒！

小白：灰鸽子病毒？

大东：是的。 灰鸽子本身是一款远程控制软件，但由于恶意使用，也被认为是一种集多种控制手段于一体的木马病毒。 一旦用户的计算机不幸被感染，可以说用户的一举一动都在黑客的监视之下。 ，很容易窃取帐户、密码、照片和重要文档。

小白：天哪，我的隐私不是完全暴露在所有人面前了吗？ ！

大东：不仅如此，他们还可以连续捕获远程计算机屏幕，监视受控计算机上的摄像头，自动打开（无需打开显示器）并使用摄像头进行录制。

小白：简直太可怕了！ 如果我被拍到没洗头没洗脸，穿着邋遢的衣服，上传到网上怎么办……

大东：emmmmm……以你的长相，估计就算你上传了也没有人看到。 言归正传，继续说灰鸽子。 随着《灰鸽子2007》的发布，仅当年3月1日至13日，金山毒霸截获的灰鸽子变种数量就达到了521个。盗号账号、偷窥、敲诈勒索、触目惊心的公开“兜售”危害更大熊猫烧香。

小白：这些人简直太恶心了！

大东：而且灰鸽子远程控制软件教程，灰鸽子已经不是简单的病毒了。 其背后是一条集病毒制造、病毒销售、病毒培训为一体的黑色产业链。 从某种意义上来说，灰鸽子的危害比大熊猫烧香的危害还要大10倍。 ！

灰鸽子产业链示意图。图片来自网络

小白：东哥，灰鸽子就没有办法了吗？

大东：灰鸽子虽然强大，但并不完美。 让我为您分解这个困难的病毒。

2. 灰鸽病毒的发展历史

大东：我们先讲一下灰鸽子病毒的发展历史。

小白：好吧，我最喜欢听历史了。

大东：灰鸽子病毒的发展可分为三个时期：诞生期、模仿期、快速发展期。

小白：我们先来说说生育期吧。

大东：灰鸽子自2001年诞生以来，就被反病毒专业人士判定为最危险的后门程序，并引起了安全领域的高度关注。 2004年、2005年、2006年，灰鸽子木马连续三年被国内各大反病毒厂商评选为年度十大病毒之一。 由此，灰鸽子名声大噪，逐渐成为媒体和网友关注的焦点。

小白：最危险的后门程序听起来很厉害。

大东：模仿时期，灰鸽子第一次出现是在模仿《冰川》的时候。 它是用Delphi 编写的，并通过源代码共享出现在Internet 上。 虽然当时《灰鸽子》的名气不如《冰川》，但由于其开源的方式，《灰鸽子》的传播度逐渐增大。

小白：原来冰川就是灰鸽子的“前身”啊！ Glacier也是远程控制软件吗？

大东：是的。 Glacier的可怕之处在于它会自动跟踪目标机器的屏幕变化，同时可以完全模拟键盘和鼠标输入并记录各种密码信息。 它还包括获取系统信息，例如计算机名称、注册公司、当前用户和其他系统数据。 远程关机、远程重启电脑、锁定鼠标和锁定注册表等诸多功能限制也是他的强项。

小白：是时候说说灰鸽子病毒的快速发展时期了。

大东：2004年到2005年间，灰鸽子逐渐进入成熟状态。 由于源代码的公开，网上衍生出大量变种。 2004年，在灰鸽子身上发现了1000多个变异，2005年，这个数字迅速上升到3000多个。

小白：变异太快了吧？ ！

大东：“灰鸽子”最大的危害是潜伏在用户系统中。 由于其采用的“反弹端口”原理，局域网（企业网）的部分用户也受到了“灰鸽子”的危害，使得受害用户数量大幅提升。 2004年感染人数为103,483人，到2005年这一数字攀升至890,321人。 “灰鸽子”本身具有键盘记录、屏幕截图、文件上传、下载和操作、摄像头控制等功能，这会让用户毫无隐私可言。 更可怕的是，服务器高度隐藏，受害者根本无法知道自己感染了该病毒。

小白：好可怕！

3.如何清除灰鸽子病毒

大东：但是通过一些检测方法，灰鸽子是可以挑出来的。 通过研究我们发现，无论定制的服务器端文件名是什么，一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。 通过这个，我们可以更准确地手动检测灰鸽子服务器。

小白：我可以直接删除“_hook.dll”结尾的文件吗？

大东：当然没那么简单。 由于灰鸽子在正常模式下会隐藏自身，因此检测灰鸽子的操作必须在安全模式下进行，并且Windows必须设置为显示所有文件。 并打开Windows的“搜索文件”，输入“_hook.dll”作为文件名，选择Windows安装目录作为搜索位置（98/xp默认为C:\windows，2k/默认为C:\Winnt）新界）。 经过查找，在Windows目录（不包括子目录）中发现了一个名为Game_Hook.dll的文件。

小白：这是灰鸽子档案！

大东：还不确定。 如果Game_Hook.DLL是灰鸽子文件，那么操作系统安装目录下也会有Game.exe和Game.dll文件。 这是灰鸽子真正的服务器端。 不能“冤枉”好人！

Game.exe和Game.dll.图片来自网络

小白：原来是这样啊。 删除这些文件，告别灰鸽子病毒！

大东：总共有两步，这只是其中一步。 首先，清理灰鸽子服务。 请务必在注册表中完成它。 要删除灰鸽子服务，必须先备份注册表，或者在纯DOS下重命名注册表文件，然后从注册表中删除灰鸽子服务。 因为病毒是与EXE文件相关的。

小白：东哥，具体应该怎么做呢？ 就教我吧。

大东：第一步，打开注册表编辑器（点击“开始”——“运行”，输入“Regedit.exe”，确定。），打开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。 第二步灰鸽子远程控制软件教程，点击菜单“编辑”“搜索”-“查找目标”，输入“game.exe”，点击确定，我们就可以找到灰鸽子的服务项（本例为Game_Server，这个名称为Game_Server）每个人的服务项目都不同））。 第三步是删除整个Game_Server项。

找到game.exe。图片来自网络

小白：这个过程的第二步就是我刚才说的Game.exe和Game.dll的删除吗？

大东：宾果！ 只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll和Gamekey.dll文件，然后重新启动电脑就可以告别灰鸽子病毒了。

4. 预防措施

小白：东哥，灰鸽子这样的病毒怎么预防？

大东：有些方法虽然有点原始，但总是最好的。 例如，在系统上安装补丁。 通过 Windows Update 安装系统补丁（关键更新、安全更新和服务包）。

小白：东哥，我们老是说打补丁。 补丁的专业解释是什么？ 为什么我们需要定期打补丁？

大东：补丁是针对操作系统的不规则错误和漏洞的修复。 一般在开发过程中，有很多因素一开始没有考虑到，但随着时间的推移，存在的漏洞就会慢慢被发现。 这时，为了修复系统本身的漏洞，系统开发者就会发布相应的补丁。 如果黑客利用这些漏洞，他们就可以获得计算机的控制权。

小白：东哥，有没有类似的“原创”方法？

大东：为系统管理员账户设置一个复杂、强的密码，最好10个字符以上，字母+数字+其他符号的组合； 您还可以禁用/删除一些未使用的帐户。 如果您的记忆力足够好，经常更改密码也是一个好主意。

小白：是的，比如我经常改密码。

大东：嘿，但是你总是忘记密码。 但简单来说，更改密码是一个好习惯。

小白：东哥，你老是暴露我的背景，你就不能给我留点面子吗？

大东：（假装没听见）好吧，我们继续说预防方法。 经常更新防病毒软件（病毒库），正确安装和使用网络防火墙软件是非常有必要的。 网络防火墙在防病毒过程中起着至关重要的作用，可以有效阻挡来自网络的攻击和病毒的入侵。

小白：东哥，还有吗？

大东：关闭一些不必要的服务。 如果条件允许，可以关闭不需要的股份，包括C$、D$等管理层股份。 完全单机的用户可以直接关闭Server服务。

小白：明白了。 东哥，通过你刚才的解释，我想起了很多事情。

大东：温故知新！