灰鸽子的发展简史.doc

1、 灰鸽子的发展简史 自2001年，灰鸽子诞生之日起，就被反病毒专业人士判定为最具危险性的后门程序，并引发了安全领域的高度关注。2004年、2005年、2006年，灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒，灰鸽子也因此声名大噪，逐步成为媒体以及网民关注的焦点。人们在震惊于灰鸽子给广大电脑用户带来的危害的同时，不禁要问，灰鸽子是如何从一个模仿其他病毒开始，发展成为国内极具影响的十大病毒、甚至毒王的呢？ 灰鸽子自2001年出现至今，主要经历了模仿期、飞速发展期以及全民黑客时代三大阶段。 模仿期 飞速发展期

2、 全民黑客时代 2001年-2003年 2004年-2005年 2006年-2007年 模仿期（2001年-2003年） 2001年，国内互联网逐步走向普及，网络病毒也伴随着互联网的发展日益取代传统意义上的病毒，而到了2002年，以“电子邮件”、“网络下载和浏览”等方式传播的病毒开始大量涌现，互联网安全成为大众关注的焦点。 与此同时，随着网络的普及，人们已经可以足不出户的工作和学习，SOHO越来越受到人们的青睐。有了网络我们可以在城市的一边使用计算机控制另外一边的计算机，从而不用我们花费大量精力亲自到机房操作服务器，远程控制管理软件也由此诞生。 2

3、002年，远程控制软件已经步入了成熟阶段，是网管人员必备的工具。但同时一些带有恶意行为的远程控制软件（后门）也在互联网中流传，其中国内最为著名的就是“冰河”木马后门。“冰河”在当时被泛滥的用于控制各种网络服务器，在黑客成功攻陷一个服务器后，都会被安装上“冰河”的服务端，2002年的中国10大病毒中，位列第三位。 而灰鸽子最早出现的时候就是在模仿“冰河”。“灰鸽子”是2001年出现的，采用Delphi编写，最早并未以成品方式发布，更多的是以技术研究的姿态，采用了源码共享的方式出现在互联网，至今仍可搜索到“灰鸽子”早期版本的源码。“灰鸽子”在出现的时候使用了当时讨论最多的“反弹端口”连接方式，用

4、以躲避大多数个人网络防火墙的拦截。“灰鸽子”在当时的名气不及“冰河”，因此只出现了少量的感染，但其开放源码的方式也让“灰鸽子”逐渐增大了传播量。 灰鸽子出现后以源码开放，所以出现多种不同的版本，由于服务端都以隐藏方式启动，就奠定了其恶意后门木马的地位，当时，以金山毒霸为首的大部分安全厂商将对用户上报和监测到的“灰鸽子”服务端都认定为“黑客程序”，并坚决查杀，在一定程度上遏制了灰鸽子的发展速度。 飞速发展期（2004年-2005年） 从2004年至2005年，中国互联网化进程飞速发展，大量的商业动作实现了互联网化，电子商务成为普通网民进行消费的选择之一，网络游戏在中国大地全面开花。在这样的

5、年代下，计算机病毒也逐步转向了以经济利益为中心的方向发展。大量通过IM（即时通讯软件）传播的木马/黑客/病毒，它们不择手段的从用户系统中盗取网银帐号、网游帐号及密码。这些病毒给中国互联网提出了新的考验——用户的网络虚拟资产正在受到威胁。 也就在2004和2005这两年之间，灰鸽子逐步进入了成熟的状态，由于源码的释放，大量变种在互联网中衍生。2004年灰鸽子总共发现了1000多变种，而在2005年，这个数字迅速上升到了3000多。“灰鸽子”最大的危害在于替伏在用户系统中，由于其使用的“反弹端口”原理，一些在局域网（企业网）中的用户也受到了“灰鸽子”的侵害，使得受害用户数大大提高，2004年的感

6、染统计表现为103483人，而到2005年数字攀升到890321人。“灰鸽子”本身所具备的键盘记录、屏幕捕捉、文件上传下载和运行、摄像头控制等功能，将使用户没任何隐私可言，更可怕的是服务端高度隐藏自己，是受害者无从得知感染此病毒。 2005年，金山毒霸针对病毒泛滥，特别是像“灰鸽子”这样一类恶性木马，采取了严打的措施，提高病毒库升级周期，加强应急处理流程，而在技术上积极研究对策，最大限度的减少“灰鸽子”给用户带来的危害。 全民黑客时代（2006年-2007年） 2006年，电脑病毒呈爆炸式增长，金山毒霸共截获新增病毒样本总计240156种，其中木马病毒新增数占总病毒新增数的73％，高

7、达175313种；随着计算机技术的普及，由于制作工具的泛滥，病毒变种增多病毒的制作也逐渐呈现商业化的运作。某些制作者小组甚至可以根据使用者的要求为其提供针对特定目标的专门版本。病毒程序的模块化使得病毒制作的门槛降低，很多具备一定计算机知识的用户可以根据自己的需要对其自行组合。因此2006年病毒的变种迅速增加，以典型的“灰鸽子”木马为例，高峰时期几乎每天增加10余个不同变种，迄今为止共出现了6万余种变种，并连续三年荣登国内10大病毒排行榜。而且这类木马往往通过自我升级功能频繁的进行更新以对抗反病毒软件。 2007年2月23日，灰鸽子2007 beta2版本发布。该版本的隐形性更强，可以任意插入

8、常见的程序，比如QQ，下载工具等等，程序性能也得到提升，可以同时监视多个目标主机，并对远程监视的计算机进行如下操作：编辑注册表；上传下载文件；查看系统信息、进程、服务；查看操作窗口、记录键盘、修改共享、开启代理服务器、命令行操作、监视远程屏幕、操控远程语音视频设备、关闭、重启机器等。而由于灰鸽子采取了直接进程注入方式，利用HOOK API的方式实现病毒文件及病毒进程的隐藏，所有盗取用户信息的操作，远程计算机的操作人员可能毫不知情。 发展到今天，灰鸽子已经不仅仅是一个病毒如此简单，其背后已经形成了一条黑色的产业链条，任何一个网络菜鸟都可以通过购买灰鸽子病毒、拜灰鸽子高手为师而成为黑客，可以说，

9、灰鸽子病毒演变到今天，已经催生了全民黑客时代的到来。 普通网民很难了解到在他们的生活之外竟然有一个如此完整的制造、贩卖病毒的“生态圈”。浏览各大网络论坛，购买、出售灰鸽子木马的人比比皆是，而购买灰鸽子教程、批量出售被灰鸽子控制的“肉鸡”、企图利用灰鸽子进行不法勾当的人更是数不胜数。尤其是伴随着灰鸽子2007的推出，这种不正之风正在互联网迅速蔓延，灰鸽子的猖獗已经到了不得不管的地步！ 金山作为国内最著名的网络信息安全厂商，动用了大量的人力物力，将全面围剿以“灰鸽子”为首的恶性木马病毒。从技术角度，我们推出了具有全球领先的数据流杀毒技术的的灰鸽子专杀工具，任何人均可登陆金山毒霸官网免费下载使用；已经购买了金山毒霸2007的正版用户，升级到最新版本，也能全面查杀灰鸽子。金山毒霸并将时刻监控其发展动态。同时我们也呼吁国家相关部门能够关注此事，关注灰鸽子这种网络制作、贩卖病毒的违法行为。我们相信邪不压正，我们会用一流的反病毒技术为广大网民创造一片安宁的天空！ 本文章作者来自：