今天开机发现KV报在WINDOWS 下杀到 灰鸽子 郁闷啊 KV显示已经查杀成功 但是系统重起后再次生成。。后来发现被查杀到的是日子文件（log）和2个不痛不痒的东西 病毒在完成安装后 竟然释放出日子文件。。（天啊 太嚣张了，KV也只杀到了这3个文件，哎 现在的杀毒软件和现在的社会一样，只能抓小的 大的照样逍遥法外）
此病毒做了壳，使得杀毒软件对它的本体起不了作用。。。
还有现在的专杀工具真的是有愧“专杀”这两个字，不是杀不了，就是自己都带毒。

灰鸽子相关资料

灰鸽子木马分为两部分。客户端和服务端，当然这个也是其他许多木马的基本结构，其实木马也

是一种变相的C/S模式服务软件程序。客户端配置生成一个服务端程序，服务端文件的名称默认

为*.exe。然后通过各种渠道传播木马。
传播木马的手段很多，所以请大家务必留神。
木马栽培技术~：
其与一张图片绑定，然后通过各种诱人的手段用QQ把绑定木马的图片发送与对方，骗你运行。

还有就是建立起一个个人主页，诱骗你点击，在利用IE漏洞把木马下载到你的机子上并运行。

还有的将文件上传到某个软件下载网站，冒充成一个有趣的软件诱骗用户下载（现在的很多不正

规软件网站被着良心让访问着下木马。。听万博的兄弟也经常抱怨说到正规的网站下的软件竟然

也带有病毒，，，）

予以以上的栽培技术不难看出，木马都是经过诱骗手段进行种植的，所以警告那些意志不坚定的

同志格外小心，别当养虫专业户

当木马注入成功后，*.exe文件就开始发标了，它将自己拷贝到windows目录下（%SystemRoot%）

，然后从本体释放*.dll *_server *_hook.dll *key_dll四个文件相互配合组成了灰鸽子服务端

。

我所感染的灰鸽子病毒

病毒本体：

服务：windows_system_update

文件： c:/
 windows/win_update_hook.dll
 win_updatekey.dll //经过查找资料 发现这个文件是个用于键盘记忆的文件
 win_update.dll
 win_update.exe 

此病毒将自己注册成服务，每次开机都能自动运行，运行后启动WIN_UPADTE.DLL

WIN_UPDATE_DLL并自动退出，经查资料了解到 WIN_UPDATE_DLL文件实现后门功能，与控制端客

户进行通信，WIN_UPDATE_HOOT.DLL则通过拦截API调用来隐藏病毒，因此，中毒后，我们看不到

病毒文件，也看不到病毒注册的服务项，随着灰鸽子服务端文件的设置不同，

WIN_UPDATE_HOOK.dll有时候附在Explorer.exe的进程空间中，有时候则是附在所有进程中。

手工删除方法：
 由于灰鸽子拦截了API调用，在正常模式下木马程序文件和它注册的服务项均被隐藏，

也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外，灰鸽子服务端的文件名也是可以自定义的，这都给手工检测带来了一定的困难。

 但是，通过仔细观察我们发现，对于灰鸽子的检测仍然是有规律可循的。先是KV杀出的文件c:/windows/win_update_hook.dll 看出木马文件存活在windows文件夹下，于是追根揪底先到文件夹下看看，找到了KV杀的那个家伙了 张的跟WINDOWS的UPDATE还真有点像 不知道的还以为是自动更新呢，，，，找到了文件了也就只有两个类似的文件删了 下次重起又出现，肯定不是BOSS了，再回忆下前面讲的API拦截，于通过点击文件夹属性的查看 将文件夹的隐藏受保护的操作系统文件勾去掉，并且选择显示所有文件和文件夹，然后确定，再退会到WINDOWS文件夹下

点击按名称排列 那些木马文件便无从躲藏了。

 win_update_hook.dll
 win_updatekey.dll
 win_update.dll
 win_update.exe 
都有了 先别急着删 从这里可以看到本体就是win_update.exe，而现在又在运行中难免会受保护只要我们停了它的服务就可以了，用regedit打开注册表，然后查找win_update.exe，你会在
[HKEY_LOCAL_MICHINE/SYSTEM/CURRENTCONTROLSET/SERVICES/]里面的一个服务找到它，如图

先删了那个项，然后把WINDOWS目录里的4个文件全DEL了 搞定重启下，病毒清楚干净~~~~

灰鸽子还在不断变种中希望有兴趣的兄弟们继续跟帖哈~~~~和灰鸽子说88

还有在此感谢瑞星公司的刘明星提供的资料参考

评论