病毒名称： Backdoor.Win32.Huigezi.pigenon
中文名称： 灰鸽子
病毒类型： 后门
文件 MD5： 5CE74EB25E3CF47652307AEFDABBA0FF
公开范围： 完全公开
危害等级： 3
文件长度： 310,280字节
感染系统： windows98以上系统
开发工具： Borland Delphi 6.0 - 7.0
加壳类型： UPolyX v0.5
命名对照： Symentec[]
　　　　　 BitDefender []

1、病毒运行后衍生病毒文件且删除自身：

%windir%\Hacker.com.cn.exe

2、病毒运行后修改注册表：

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root
\LEGACY_GRAYPIGEON_HACKER.COM.CN\0000\Control\
键值：字串：” ActiveService”=”GrayPigeon_Hacker.com.cn”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root
\LEGACY_GRAYPIGEON_HACKER.COM.CN\0000\
键值：字串：” DeviceDesc”=”GrayPigeon_Hacker.com.cn”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root
\LEGACY_GRAYPIGEON_HACKER.COM.CN\0000\
键值：字串：" Service"=" GrayPigeon_Hacker.com.cn "
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\ GrayPigeon_Hacker.com.cn \
键值：字串：” Description”=”灰鸽子服务端程序。远程监控管理.”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\ GrayPigeon_Hacker.com.cn \
键值：字串：" DisplayName"=" GrayPigeon_Hacker.com.cn "
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\ GrayPigeon_Hacker.com.cn \
键值：字串：" ImagePath"=" C:\WINNT\ Hacker.com.cn .exe"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GrayPigeon_Hacker.com.cn \Enum
键值：字串："0"=" Root\LEGACY_GRAYPIGEON_HACKER.COM.CN\0000 "

3、病毒运行后开启服务：

显示名称：GrayPigeon_Hacker.com.cn
描述：灰鸽子服务端程序。远程监控管理.
可执行文件的路径：C:\WINNT\Hacker.com.cn.exe

注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。