后门病毒“灰鸽子”，delphi编写，被压缩。 *br*主要特点： *br*1。可以穿越防火墙远程控制用户机器。 *br*2。使用madcodehook开发包接管若干api,隐藏病毒文件，给用户杀毒造成障碍。 *br**br*病毒的破坏行为如下： *br**br*一、病毒主程序运行后，把自己复制到系统目录，命名为“g_server.exe”。 *br**br*win9x和winme下，病毒添加自启动项 software\microsoft\windows\currentversion\run *br*nt平台下，创建服务“graypigeonserver”，以服务的方式启动病毒。 *br**br*二、“g_server.exe”运行后，释放“g_server.dll”，然后把该dll注入到“explorer.exe” *br*病毒使用madcodehook开发包的madremote模块注模块。 *br**br*以隐藏方式启动浏览器“iexplore.exe”。以远程线程的方式把“g_server.dll”注入到 *br*iexplore.exe”中。这样，在防火墙看来，病毒的网络访问都是“iexplore.exe”，而且是80端口，都会认为是正常访问。 *br*从进程管理器中，用户自然看不到可疑进程。 *br**br*三、“g_server.dll”是病毒后门功能模块，每隔30秒钟，向指定网址提交本地信息： *br**br*系统芯片: *br*物理内存: *br*windows版本: *br*windows目录: *br*注册公司: *br*注册用户: *br*当前用户: *br*当前日期: *br*开机时间: *br*计算机名称: *br*窗口分辨率: *br*服务端版本: *br*剪切板内容： *br*本地ip地址. *br**br*安装名称: *br*vip用户名: *br*备用上线地址: *br*上线分组: *br*上线备注: *br*连接密码: *br*服务名称: *br*服务显示名称: *br*服务描述信息: *br**br*病毒提供下列远程控制功能： *br**br*安装文件 *br*启动键盘记录 *br*停止键盘记录 *br*结束指定的进程 *br*从新启动计算机 *br*启动cmd程序 *br*执行系统命令 *br*获取系统信息 *br*共享文件夹 *br*从指定的地址中下载文件。 *br**br**br*四、病毒把“g_server_hook.dll”使用madcodehook开发包接管下列api。 *br**br*kernel32.dll 的 findnextfilea、findnextfilew *br*advapi32.dll 的 enumservicesstatusa、enumservicesstatusw *br*ntdll.dll 的 ntquerysysteminformation、ntterminateprocess *br**br*病毒有个共享数据区：“gpigeon5_shared_hide”，里面可以包含四个文件，病毒这些文件 *br*病防止终止相应进程。所以，一旦感染病毒，用户看不到病毒文件。 *br*灰鸽子是一款远程管理软件,如果你的电脑在未经你允许的情况下被别人安装了灰鸽子服务端程序,请下载该软件进行检测卸载! *br*灰鸽子服务端卸载程序适用灰鸽子VIP2005/2006/2007及其它版本的服务端程序的检测和卸载! *br**br*灰鸽子工作室谴责那些非法利用远程控制技术,实现非法目的的行为,对于此类行为,灰鸽子工作室一如既往的给予打击和帮助广大网民予以应对!