这个马儿太厉害!浅析灰鸽子的防范与清除(图) (1)

　　偶尔得到了一款灰鸽子2.02 VIP版，试用了半天竟然控制了20多台肉鸡，看着这些肉鸡任由宰割，笔者异常兴奋，不仅由衷地感叹道——这个马儿太厉害！

　　一、厉害之处

　　⒈马儿健壮

　　主流的杀毒软件竟然无法查杀灰鸽子。笔者使用的是国内某知名杀毒软件的最新版，不论是灰鸽子的服务端程序还是客户端程序，这个杀毒软件均不报警。用灰鸽子的屏幕捕获功能发现，被控制的20多台肉鸡绝大多数都运行着杀毒软件，这些杀毒软件基本上囊括了国内以及国际上主流的杀毒软件。笔者给一个被控制的肉鸡发了一个文本消息，吓得他用杀毒软件和包括木马克星在内的各种杀马软件扫描电脑，然而遗憾的是，直到现在笔者还用灰鸽子控制着他。

　　⒉端口反弹，天网防火墙形同虚设

　　笔者的电脑上安装了最新版本的天网防火墙，在玩灰鸽子的过程中，一不小心，笔者在自己的电脑上运行了灰鸽子的服务端程序，然而，天网防火墙却没有任何报警。

　　天网防火墙对本地应用程序访问网络的请求管理的不是太严格，而且对已信任的程序访问网络的连接不做任何报警。灰鸽子是一款反弹端口的木马，和传统的木马不一样的是它不监听一个端口等待客户端来连接自己，而是自己以IE浏览器的身份主动去连接客户端，而IE浏览器是天网防火墙默认的已信任程序，所以灰鸽子能够轻易“穿透”天网防火墙。因为灰鸽子是以IE浏览器的身份去访问网络的，而任何防火墙都不会限制IE浏览器浏览网页，所以从理论上来讲，灰鸽子能“穿透”任何防火墙，这一点，鄙人通过已控制的20多台肉鸡得到了证实。

　　端口反弹木马的工作原理：在传输层，和传统的木马恰恰相反，被控端（服务端）执行客户端的命令，但它不监听一个端口，而是主动去连接客户端；客户端给服务端下达命令，但它不主动去连接服务端，而是开一个端口监听服务端的连接。

　　⒊反向连接，被控制电脑“自动上线”

　　灰鸽子是反向连接的木马，也就是说，被控制电脑会主动连接控制端电脑。冰河、BO 2000这些传统的木马要连接被控端电脑必须告知客户端被控电脑的IP地址和端口等信息，而灰鸽子则不同，灰鸽子的客户端启动后，被控制电脑会争先连接到客户端，灰鸽子使用了语音提示的功能，当一台被控制的电脑连接到客户端后，一个标准的女中音会提示：有主机上线，请注意！听着这一声声提示，看着被控制的电脑自动地纷纷出现在“自动上线的主机”列表中（如图1），笔者在想：马儿实在是太可怕了！