文章大纲：

• 1、这个病毒吓死人
• 2、木马病毒的相关案例
• 3、一张网页上面的图片有可能带木马病毒吗？
• 4、请问病毒和木马是什么样的？求图片！
• 5、图片病毒是什么原理
• 6、图片木马原理

这个病毒吓死人

很牛的灰鸽子木马,要杀它手杀最为干净:

*** 一：

灰鸽子（Backdoor.Huigezi）作者现在还没有停止对灰鸽子的开发，再加上有些人为了避开杀毒软件的查杀故意给灰鸽子加上各种不同的壳，造成现在 *** 上不断有新的灰鸽子变种出现。尽管瑞星公司一直在不遗余力地收集最新的灰鸽子样本，但由于变种繁多，还会有一些“漏网之鱼”。如果您的机器出现灰鸽子症状但用瑞星杀毒软件查不到，那很可能是中了还没有被截获的新变种。这个时候，就需要手工杀掉灰鸽子。

手工清除灰鸽子并不难，重要的是我们必须懂得它的运行原理。

灰鸽子的运行原理

灰鸽子木马分两部分：客户端和服务端。黑客（姑且这么称呼吧）操纵着客户端，利用客户端配置生成出一个服务端程序。服务端文件的名字默认为G_Server.exe，然后黑客通过各种渠道传播这个木马（俗称种木马或者开后门）。种木马的手段有很多，比如，黑客可以将它与一张图片绑定，然后假冒成一个羞涩的MM通过 *** 把木马传给你，诱骗你运行；也可以建立一个个人网页，诱骗你点击，利用IE漏洞把木马下载到你的机器上并运行；还可以将文件上传到某个软件下载站点，冒充成一个有趣的软件诱骗用户下载……

G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录，2k/NT下为系统盘的Winnt目录)，然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端，有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意，G_Server.exe这个名称并不固定，它是可以定制的，比如当定制服务端文件名为A.exe时，生成的文件就是A.exe、A.dll和A_Hook.dll。

Windows目录下的G_Server.exe文件将自己注册成服务（9X系统写注册表启动项），每次开机都能自动运行，运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能，与控制端客户端进行通信；G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此，中毒后，我们看不到病毒文件，也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同，G_Server_Hook.dll有时候附在Explorer.exe的进程空间中，有时候则是附在所有进程中。

灰鸽子的手工检测

由于灰鸽子拦截了API调用，在正常模式下木马程序文件和它注册的服务项均被隐藏，也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外，灰鸽子服务端的文件名也是可以自定义的，这都给手工检测带来了一定的困难。

但是，通过仔细观察我们发现，对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出，无论自定义的服务器端文件名是什么，一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点，我们可以较为准确手工检测出灰鸽子木马。

由于正常模式下灰鸽子会隐藏自身，因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的 *** 是：启动计算机，在系统进入Windows启动画面前，按下F8键(或者在启动计算机时按住Ctrl键不放)，在出现的启动选项菜单中，选择“Safe Mode”或“安全模式”。

1、由于灰鸽子的文件本身具有隐藏属性，因此要设置Windows显示所有文件。打开“我的电脑”，选择菜单“工具”—》“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，然后点击“确定”。

2、打开Windows的“搜索文件”，文件名称输入“_hook.dll”，搜索位置选择Windows的安装目录（默认98/xp为C:\windows，2k/NT为C:\Winnt）。

3、经过搜索，我们在Windows目录（不包含子目录）下发现了一个名为Game_Hook.dll的文件。

4、根据灰鸽子原理分析我们知道，如果Game_Hook.DLL是灰鸽子的文件，则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录，果然有这两个文件，同时还有一个用于记录键盘操作的GameKey.dll文件。

经过这几步操作我们基本就可以确定这些文件是灰鸽子木马了，下面就可以进行手动清除。

灰鸽子的手工清除

经过上面的分析，清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作，主要有两步：1、清除灰鸽子的服务；2删除灰鸽子程序文件。

注意：为防止误操作，清除前一定要做好备份。

一、清除灰鸽子的服务

2000／XP系统：

1、打开注册表编辑器（点击“开始”－》“运行”，输入“Regedit.exe”，确定。），打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。

2、点击菜单“编辑”－》“查找”，“查找目标”输入“game.exe”，点击确定，我们就可以找到灰鸽子的服务项（此例为Game_Server）。

3、删除整个Game_Server项。

98／me系统：

在9X下，灰鸽子启动项只有一个，因此清除更为简单。运行注册表编辑器，打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项，我们立即看到名为Game.exe的一项，将Game.exe项删除即可。

二、删除灰鸽子程序文件

删除灰鸽子程序文件非常简单，只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件，然后重新启动计算机。至此，灰鸽子已经被清除干净。

此法适用于我们看到的大部分灰鸽子木马及其变种，然而仍有极少数变种采用此种 *** 无法检测和清除。同时，随着灰鸽子新版本的不断推出，作者可能会加入一些新的隐藏 *** 、防删除手段，手工检测和清除它的难度也会越来越大。当你确定机器中了灰鸽子木马而用本文所述的 *** 又检测不到时，更好找有经验的朋友帮忙解决。

由灰鸽子工作室开发的,针对灰鸽子专用清除器!可以清除VIP2005版灰鸽子服务端程序(包括杀毒软件杀不到的灰鸽子服务端)和灰鸽子 [辐射正式版] 和 DLL版服务端 牵手版服务端

运行DelHgzvip2005Server.exe文件清除VIP2005版灰鸽子服务端程序，运行un_hgzserver.exe文件清除灰鸽子 [辐射正式版] 和 DLL版服务端 牵手版服务端

灰鸽子后门专杀工具1.1.1

软件简介

灰鸽子是国内一款著名后门。比起前辈冰河、黑洞来，灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时，灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事，灰鸽子就成了很强大的黑客工具。本工具的功能为专门查找计算机上的BlackHole后门程序和灰鸽子后门程序。

*** 三：

由于灰鸽子作者以及N多的编程朋友对之修复，变种参出不穷，杀毒软件也不一定能急时杀掉

所以有的时候手动杀还是有必要的，我们可以借用：Hijackthis

"HijackThis是由一位荷兰学生编写，它能够扫描注册表和硬盘上的特定文件，找到一些恶意程序（如恶意网页或蠕虫木马病毒）“劫持”浏览器或注册表的入口，并修复大部分被恶意修改的内容 "

灰鸽子以及变种的服务不定，所以用X代表变种名,变种不一样,所出现的X也不一样

一：先用Hijackthis修复这个O23项（修复它的服务）

O23 - Service: X_Server - Unknown - C:\WINDOWS\X_Server.exe

二：在安全模式下面打开注册表，搜索：X_Server，查找相关东东，并删除（在注册表中把它清理干净）

但是有的提示无法删除，你右键找到权限项，将完全控制打钩就可删除

三：删除病毒文件 用killbox填上路径，并删除：（下面的这些文件并不是都有，没有就算了），服务名=X

C:\windows\服务名.dll

C:\windows\服务名.exe

C:\windows\服务名.bat

C:\windows\服务名key.dll

C:\windows\服务名_hook.dll

C:\windows\服务名_hook2.dll

如果提示没有找到文件，没事，因为它可能本身不存在

只要找到的删掉就可以了

下面以：(这里面的C:\WINDOWS\G_Server.exe，就是灰鸽子的服务了,G就是X了)

O23 - Service: Gray_Pigeon_Server - Unknown - C:\WINDOWS\G_Server.exe

为例，作个简单的操作步骤说明：

一：先用Hijackthis修复这个O23项（修复它的服务）

二：在安全模式下面打开注册表，搜索：G_Server，查找相关东东，并删除（在注册表中把它清理干净）

三：删除病毒文件

用killbox填上路径，并删除：（下面的这些文件并不是都有，没有就算了）

C:\WINDOWS\G_Server.exe

C:\WINDOWS\G_Server.dll

C:\WINDOWS\G_Serverkey.dll

C:\WINDOWS\G_Server_hook.dll

至此，病毒已经完全清理完毕

以上操作更好在安全模式下面操作 *** 四：

和 *** 三类似的手工清除办法。

下面链接里的页面里有一个下载链接，下载链接里的文件是RAR文件，有25M左右，解压出来后是一个EXE文件，有48M左右，这个文件是一个视频录像文件，我下载证实可用。

木马病毒的相关案例

因好莱坞大片《特洛伊》而一举成名的“木马”（Trojan），在互联网时代让无数网民深受其害。无论是“ *** ”、“网银”还是“网游”的账户密码，只要与钱有关的 *** 交易，都是当下木马攻击的重灾区，用户稍有不慎极有可能遭受重大钱财损失甚至隐私被窃。以下列举一些案例。

No1：“支付大盗”

“支付大盗”花钱上百度首页。

2012年12月6日，一款名为“支付大盗”的新型 *** 木马被发现。木马网站利用百度排名机制伪装为“阿里旺旺官网”，诱骗网友下载运行木马，再暗中劫持受害者网上支付资金，把付款对象篡改为黑客账户。

No2：“新鬼影”

“新鬼影”借《江南Style》疯传。

火遍全球的《江南Style》很不幸被一种名为“新鬼影”的木马盯上了。此木马主要寄生在硬盘MBR（主引导扇区）中，如果用户电脑没有开启安全软件防护，中招后无论重装系统还是格式化硬盘，都无法将其彻底清除干净。

No3：“图片大盗”

“图片大盗”更爱私密照。

绝大多数网民都有一个困惑，为什么自己电脑中的私密照会莫名其妙的出现在网上。“图片大盗”木马运行后会全盘扫描搜集JPG、PNG格式图片，并筛选大小在100KB到2MB之间的文件，暗中将其发送到黑 *** 务器上，对受害者隐私造成严重危害。

No4：“浮云”

“浮云”木马震惊全国。

　盗取网民钱财高达千万元的“浮云”成为了2012年度震惊全国的木马。首先诱骗网民支付一笔小额假订单，却在后台执行另外一个高额定单，用户确认后，高额转账资金就会进入黑客的账户。该木马可以对20多家银行的网上交易系统实施盗窃

No5：“黏虫”

“黏虫”木马专盗 *** 。

　“ *** 黏虫”在2011年度就被业界评为十大高危木马之一，2012年该木马变种卷土重来，伪装成 *** 登录框窃取用户 *** 帐号及密码。值得警惕的是不法分子盗窃 *** 后，除了窃取帐号关联的虚拟财产外，还有可能假冒身份向被害者的亲友借钱。

No6：“怪鱼”

“怪鱼”木马袭击微博。

2012年十一长假刚刚结束，一种名为“怪鱼”的新型木马开始肆虐 *** 。该木马充分利用了新兴的社交 *** ，在中招电脑上自动登录受害者微博帐号，发布虚假中奖等钓鱼网站链接，绝对是2012年更具欺骗性的钓鱼攻击方式之一。

No7：“打印机木马”

“打印机木马”疯狂消耗纸张。

2012年6月，号称史上最不环保的“打印机木马”（Trojan.Milicenso）现身，美国、印度、北欧等地区大批企业电脑中招，导致数千台打印机疯狂打印毫无意义的内容，直到耗完纸张或强行关闭打印机才会停止。

No8：“网银刺客”

“网银刺客”木马暗算多家网银。

2012年“3.15”期间大名鼎鼎的“网银刺客”木马开始大规模爆发，该木马恶意利用某截图软件，把正当合法软件作为自身保护伞，从而避开了不少杀毒软件的监控。运行后会暗中劫持网银支付资金，影响十余家主流网上银行。

No9：“遥控弹窗机”

“遥控弹窗机”木马爱上偷菜。

“遥控弹窗机”是一款伪装成“ *** 农牧餐大师”等游戏外挂的恶意木马，运行后会劫持正常的 *** 弹窗，不断弹出大量低俗页面及 *** 钓鱼弹窗，并暗中与黑 *** 务器连接，随时获取更新指令，使受害者面临 *** 帐号被盗、个人隐私泄露的危险。

No10：“Q币木马”

“Q币木马”元旦来袭。

新年历来是木马病毒活跃的高峰期，2012元旦爆发的“Q币木马”令不少网民深受其害。该木马伪造“元旦五折充值Q币”的虚假 *** 弹窗，诱骗中招用户在Q币充值页面上进行支付，充值对象则被木马篡改为黑客的 *** 号码，相当于掏钱替黑客买Q币。

No11: “修改中奖号码”

2009年6月，深圳一起涉及3305万元的福利彩票诈骗案成了社会关注的焦点，深圳市某技术公司软件开发工程师程某，利用在深圳福彩中心实施技术合作项目的机会，通过木马程序，攻击了存储福彩信息的数据库，并进一步进行了篡改彩票中奖数据的恶意行为，以期达到其牟取非法利益的目的。

一张网页上面的图片有可能带木马病毒吗？

网页上的图片文件可能存在病毒。

2004年9月14日，微软发布了MS04-028安全公告：JPEG处理(GDI+)中的缓冲区溢出可能使代码得以执行。其对应的动态链接库为GdiPlus.dll，是一种图形设备接口，能够为应用程序和程序员提供二维媒介图形、映像和版式，大部分Windows程序都调用这个DLL完成JPEG格式图片的处理工作。

因此，一般情况下，并不是图片自己能传播病毒，而是系统负责图形处理工作的模块会在处理图片时发生溢出导致图片内携带的恶意指令得以执行破坏。如果某个图片工具不调用这个系统模块，而是使用自己的处理模块，那么同样包含恶意指令的图片就不能达到破坏目的。但是因为这个系统模块是默认的处理模块，所以大部分程序在“JPEG病毒”面前纷纷落马。

对于虚假图片文件的欺骗手法，只要用户补上了MIME和IFRAME漏洞，那么入侵将可以直接避免；至于BMP木马，它的防范是几乎不可避免，但是它有个更大的弱点，大部分情况下只能在Win9x环境正常执行，用Win2000以上的用户不必担心了。

请问病毒和木马是什么样的？求图片！

您好

木马病毒都是具有伪装性和潜伏性的，并不能直接看出来

如果担心电脑中毒，可以到腾讯电脑管家官网下载电脑管家

电脑管家拥有16层实时防护功能，可以从上网安全、应用入口、系统底层等全方位保护电脑安全，并可以在木马活动早期侦测并阻断木马的破坏行为，通过云查杀技术秒杀最新流行木马。

如果还有其他疑问和问题，欢迎再次来电脑管家企业平台进行提问，我们将尽全力为您解答疑难

腾讯电脑管家企业平台：

图片病毒是什么原理

图片病毒有多种，每一种原理都不相同。

简单点的有捆绑，将病毒和图片捆绑后,伪装成图片的格式发送给别人，点击时，会打开图片，运行病毒。

还有就是直接 *** 病毒，将图标改成图片文件的图标，文件名改成XXX.JPG.EXE之类的，由于系统默认是不显示后缀名的，很多人看到JPG以为是图片而点击运行中病毒。

高级点的就是利用系统漏洞，如利用 MS04-028漏洞 *** 的图片病毒。用户浏览了带毒电子图片，如果用户机器没有打相应补丁，并使用资源管理器浏览了该文件，病毒会利用GDI+漏洞，尝试溢出执行下载命令。如果溢出失败，则会导致资源管理器崩溃，成功将导致用户机器从连接病毒种植者指定的FTP地址，并从该FTP下载病毒文件，并运行这些病毒。

图片木马原理

关于jpg图片病毒这个词估计大家都不陌生了，近来似乎也弄的有点人心惶惶。

但对于这个令人闻之色变的图片病毒到底是怎么运作，怎么入侵电脑，恐怕知道的人并不多。

所以，以讹传讹，一个小小利用windows漏洞的病毒，竟然变成了大家心目中的梦魇。

先说一下现在比较流行的2种图片木马病毒。

之一种，老 *** ，就是把木马伪装成一个病毒，需要通过用户点击图片进而触发木马的下载，运作。

第二种，就是大家现在都担心的，无声无息就能入侵你电脑的图片病毒，不需要点击。这种病毒主要是利用了Windows的漏洞，把木马加载在图片中，只要没有打上相应补丁的电脑游览到这些图片的时候就会自动下载该图片信息中所包含的木马信息，进而达到木马种植功能

那么解决和防范的 *** 是什么呢？

关于之一种，因为需要通过点击后自动下载，所以尽量不要点击有怀疑，来路不明的图片。（特别是包含了锁链的图片）

与此同时，更新你电脑上的所有防毒软件以及防火墙。

一般这些点击下载的图片病毒在下载到电脑中的时候，防毒软件都会有拦截，提示。

关于第二种，其实解决 *** 更简单。

就是把windows的漏洞堵上！

当然，因为这些漏洞不止Windows有，是很多软件都有，所以你需要把那些常会看到图片的软件的相关漏洞都打上补丁。例如 *** ,

MSN之类的软件也早在该jpg图片病毒公布之时发布了补丁。

大家可以去下载后打上。