灰鸽子病毒――网络神偷之后应用最广的反弹端口木马

简介：

这几天关注了几个论坛，发现很多人想尝试黑掉别人的电脑，无数人在重复一个字――“灰鸽子”，无数人在问：
灰鸽子从哪儿下载？
灰鸽子怎么用？
怎样做灰鸽子免杀？

打算抄几个文章介绍下这个木马，今天开了”灰鸽子“专栏。

灰鸽子病毒是模仿冰河木马的功能，借鉴了网络神偷的反弹端口原理，到灰鸽子2007beta2，这个臭名昭著的木马，早已青出于蓝胜于蓝了。

网络神偷是一个远程文件访问工具，可对本地及远程驱动器进行：新建文件、新建文件夹、查找文件、剪切、复制、粘贴(包括：本地文件操作、上传、 下载、同远程主机的文件复制与移动)、本地运行、远程运行、重命名、删除、查看、修改驱动器属性、修改文件属性等操作，并且所有操作均支持多选及文件夹操 作。服务端运行原理更一般的远程控制黑客程序不同，它利用“反弹端口”原理――服务端(被控制端)主动连接客户端(控制端)，为了隐蔽起见，监听端口一般 开在80(提供HTTP服务的端口)，这样，即使用户使用端口扫描软件检查自己的端口，也难以发现。

而控制端发给服务 端的数据是通过一个第三方的空间来实现的，一般用一个主页空间，控制端通过FTP写主页空间上的一个文件，而服务端定期用HTTP协议读取这个文件的内 容，当发现客户端让自己开始连接时，就主动连接。这样，控制端就可以穿过防火墙，甚至还能访问局域网内部的电脑。

灰鸽子病毒也是利用反弹端口原理的木马，缺省端口为8000。对于企业内部网来说，普通木马难以进入，因为部署在网关位置的防火墙会阻止外部网对内部网主机的直接访问。而采用反弹端口技术的灰鸽子木马的作法和网络神偷差不多，服务端（内部网中毒主机）读取ip.txt文件内容，主动连接（客户端）远程控制端，这就是灰鸽子病毒的自动上线设置。控制端就穿过企业防火墙，获得对服务端（中毒的内网主机）的安全控制权。