【IT168 专稿】近日，灰鸽子2007最新版本在网上闹得沸沸扬扬，可谓掀起血雨腥风，以至于金山公司“四问灰鸽子，你不是病毒是什么”。另外，当事的另一方，灰鸽子工作室一直表态：灰鸽子只不过是一个远程控制工具而已。金山、灰鸽子一时之间剑拔弩张，大有互斩对方于马下之欲。……那么，事情的真像到底是什么？姑且抛开金山公司借机“公关炒作”一说，作为普通的读者，我们关注的是实实在在的结果，这里我们就对灰鸽子来一个全面的实测，孰是孰非，大家看了自见分晓！

    测试环境：
    操作系统 Windows XP Professional SP2 
    CPU AMD Sempron(tm) 2200+ 
    主板 Gigabyte 
    内存 512MB RAM 
    显卡 ATI MOBILITY RADEON 9600 Series 
    声卡 Realtek AC97 Audio 
    硬盘 ST380011A 
    光驱 LG DVD-ROM  
    显示器 ViewSonic VA520液晶 
    网络连接 512K网通ADSL宽带

    灰鸽子版本信息 vip 2007 beta2  

    杀毒软件版本：
    卡巴斯基6.0
    金山毒霸2007下载版
    symantec企业版
    瑞星杀毒软件2006下载版
    360安全卫士3.2

    一、灰鸽子安装过程是否报毒实测
    不入虎穴，焉得虎子。为了测试灰鸽子的实际表现，我们下载了这款软件，下载回来的软件是一个压缩包，解压后，运行其中的H_Client.exe文件，笔者机器上的卡巴斯基病毒马上报警，提示发现威胁：

图1 卡巴斯基提示有木马程序

    与此同时，如果再次运行这个文件，将提示文件运行出错，很明显，灰鸽子被卡巴斯基拦截了。

图2 运行出错提示

    当笔者暂停卡巴斯基的自动防护功能后，灰鸽子软件能够正常运行了。

图3 灰鸽子2007运行界面

    为了测试的准确性，笔者让安装不同杀毒软件的朋友都进行了测试，金山毒霸当然毫无疑问能够拦截到：

图4 金山毒霸拦截灰鸽子2007

    但是，笔者用symantec企业版却没有发现任何警告，笔者再次用Symantec扫描灰鸽子所在文件夹，仍然一无所获：

图5 Symantec没有检测到灰鸽子

    笔者再次使用瑞星杀毒软件下载版进行查杀，查杀结果表明瑞星没有查杀到灰鸽子：

图6 瑞星杀毒软件检测不报毒

    就在笔者写这个稿子的时候，有新闻显示，奇虎360安全卫士也能有效检测到灰鸽子，并提供了灰鸽子卸载功能，笔者进行了测试，扫描系统，发现有两款灰鸽子恶意软件两款恶意软件残留：

图7 360安全卫士可以有效检测到灰鸽子

    360安全卫士在页面提供了相应的病毒专杀工具下载 ，也可以点击“立即清除”来删除，360安全卫士只不过将灰鸽子放在了“恶意软件”这一类，而且点击“立即清除”可以非常容易就清除了。难道是灰鸽子的威力根本就没有一些媒体宣传的那么强大？

图8 360安全卫士轻松清除灰鸽子

    以上我们使用多种杀毒软件进行了基本的测试，然而结果却各不相同，诚然，各种杀毒软件在识别病毒时有不同的标准，因此检测结果大相径庭也就不足为奇了，这是大家都知道的“行业潜规则”，然而，用户关注的是更实在的东西：如果灰鸽子的运行没有对系统产生影响，没有一些病毒的独特行径，那么用户就能认同这个软件，相反，就会受到用户的谴责与唾骂，然而事情的真想如何呢？我们还是深入内部去一探究竟。

    二、灰鸽子2007功能深入探秘
    在禁用本机杀毒软件的情况下，笔者运行了灰鸽子2007，灰鸽子工作室一直强调自己是一款正规的远程控制软件，然而“正规”与“不正规”到底谁说了算，既不是杀毒软件厂商，也不是灰鸽子，应该是最终的用户。而远程控制软件与黑客工具的界限也很模糊，本身就是一个亦正亦邪的工具，我们电脑被别人控制了，如果你知道，你主要要求别人控制你的电脑（比如远程协助），那么远程控制就是“正”，而如果你的机器被无端控制，那么就是黑客，就变成了“邪”。而这唯一的区别就是你是否光明正大地行使你的控制权，而具体到灰鸽子一例中，那就是看灰鸽子的行径是否光明磊落。下面一起来看看。

    1. 服务器端加壳有机关
    运行这个软件后，在“文件”下的“服务器配置”选项中，其中“自动上线”选项卡中有一项“生成服务端自动使用UPX加壳”，为什么要加壳，这是大家都知道的，躲避一般的杀毒软件的查杀，当然一些杀毒软件也会将加壳的病毒文件识别出来。为什么通常的远程控制软件不加壳，个中原由很好理解。

图9 生成服务端自动使用UPX加壳

    2. 服务端安装成功后自动删除
    在“安装选项”中有关于服务端配置的一些功能，其中一项就是“服务端安装成功后自动删除安装文件”，为什么，难道是为了节省空间？当然不是，目的只有一个，要达到神不知鬼不觉的目的，不留任何作案痕迹，这是高深黑客必备的技能，而灰鸽子将这一技能直接很简单地传达给了使用灰鸽子的用户。

图10 服务端安装成功后自动删除安装文件

    当然，在此选项中还可以任意更改文件的名称和属性，黑你岂能让你随便抓住把柄？

    3. 病毒随系统启动被加载
    在启动项中，可以配置为随服务端电脑启动而加载，在Win 9X下写入注册表，而在Win 2000/XP下则加载为细听服务，由于名字可以随便改，让普通的用户根本无法察觉到底是中了什么病毒，因为不管是用msconfig查看启动项还是查看系统进程，你都查不到不明的服务或进程。

图11 加载到服务端启动项

    4. 众多隐藏选项与进程插入
    在灰鸽子服务端配置的“高级选项”中，我们可以看到众多的隐藏选项，比如隐藏服务启动项、隐藏普通插入的IE进程、隐藏自身EXE进程，而且还采用了进程插入技术，将木马进程插入到其他正常进程中，默认的触发进程是explorer.exe，也就是控制Windows资源管理器等图形界面的进程，这是任何机器都必须打开的进程，试想，如果初级用户被控制，通过进程根本就瞧不出其中的端倪，灰鸽子果然有几下子。

图12 进程插入与众多的隐藏功能

    5. 巧用图标瞒天过海
    在配置服务端的“图标”选项中，我们看到灰鸽子可以允许用户自行选择各种图标，有常用的办公文档格式、游戏文件图标、Flash图标等很多种，之所以提供这么多图标，目的只有一个，那就是先把服务端伪装起来，然后通过IM等各种方式发送给对方运行，进而实现完全控制。试想，一个远程控制软件，为何要这般遮遮掩掩呢？

图13 配置服务端木马的图标

    6. 捆绑流氓插件轻松简单
    在“插件功能”选项中，即使是菜鸟，也能轻松捆绑各种流氓插件，从而让对方在运行这个木马的同时，也运行流氓插件，以前网上就流传着捆绑流氓软件来牟取暴利的一些细节，看到这里，恐怕我们就不难识别这些唯利是图的流氓软件开放商和推广软件的丑恶嘴脸了。

图14 轻松捆绑流氓插件来“赢利”

    到这里服务端的配置基本全部完工，值得注意的是， 我们没有看到这个“远程管理软件”有任何与访问权限和日志记录相关的东西，而这恰恰是远程管理工具必备的功能。相反，我们看到的都是如何隐藏服务端，如何更诡秘地作案，如何瞒天过海地让他们运行这个服务端，这就是远程控制软件的特色？难道网管工作就是这些？

    三、远程管理还是完全控制？
    服务端配置完成，接下来我们看看灰鸽子的“远程管理”功能：经过伪装的服务端可以轻易让别人运行，连接成功后，控制端可以轻易查看对方电脑上的文件，可以删除、改名等任何操作，可以远程修改注册表，与本地电脑完全一样。

图15 “远程管理”功能很强大

    在下面的功能选项中，我们还可以看到更多远程管理功能：可以查看远程主机的系统信息、剪切板、进程、窗口、键盘记录器、服务操作、设置代理服务器和启动插件。总之被控端的一切操作都在控制端的眼皮底下，还有什么隐私可言，还有什么安全可言？

图16 更多的远程控制命令

    灰鸽子自己设计了一个远程命令行工具。即使远程计算机的所有者禁用了telnet仍然无忌于事。此外，灰鸽子还具备远程桌面和远程屏幕监控功能。看到这里，我们不禁要问，灰鸽子到底是“远程管理”还是“完全控制”？是给网管用的还是给黑客用的?病毒还是非病毒，群众的眼睛是雪亮的，我们不必多说。

    然而灰鸽子方面对于此事首先表示：“某杀毒软件公司”属于商业公关行为的误导，网络上流行的木马病毒也并非自己所为。言语间态度非常强硬，事不关己。然而就在这两天，灰鸽子先后发布了服务端的卸载程序，试图与灰鸽子病毒划清界限，继而灰鸽子再次表态：“在此，我们郑重声明，自即日起决定全面停止对灰鸽子远程管理软件的开发、更新和注册，以实际行动和坚定的态度来抵制这种非法利用灰鸽子远程管理软件的不法行为，并诚恳接受广大网民的监督。”  态度的转变以及一系列的行动告诉我们：灰鸽子心虚了，努力在进行澄清，然而是越抹越黑。如果灰鸽子没有问题，为什么要停止更新呢？“身正不怕影子斜”的道理再一次严厉拷问着灰鸽子。

图17 灰鸽子宣布停止更新并提供了服务端卸载程序

    关于灰鸽子如何定论，已经非常明朗。非常欣慰的是，灰鸽子如今终于意识到问题的严重性，回头是岸，立地成佛还来得及，期待真正的灰鸽子“远程管理软”的出现，而不再是肉鸡控制软件！