瑞星最新病毒库(18.17.42)还不能查杀这只鸽子。卡巴斯基报：Backdoor.Win32.Hupigon.amo。
这只鸽子是因一个网友抱怨瑞星而找到的。根据他提供的网址，可以下载一个bb2.rar包，这个rar包中有一个“和美女做最刺激的事(胆小的别看).exe”的可执行文件（见附图）。
运行这个文件后，你根本看不到什么“美女”，但会在C盘根目录下见到一个av2文件夹，此文件夹内有1.wmv和50105.exe两个文件。这个50105.exe就是灰鸽子。

就在你想看“美女”时，50105.exe已经悄悄地运行了！
50105.exe运行时有下列动作：
1、创建文件：
C:\WINDOWS\system32\sosdrop.sys
C:\WINDOWS\Temp\mc27.tmp
C:\Documents and Settings\baohelin\Local Settings\Temp\ld.dll
C:\WINDOWS\G_Server.exe
C:\WINDOWS\G_Server.dll
C:\WINDOWS\G_Server_hook.dll
C:\WINDOWS\G_ServerKey.dll
2、修改内存/创建远程线程：
G_Server.exe修改explorer.exe内存，创建远程线程。并由explorer.exe安装木马驱动C:\WINDOWS\Temp\mc27.tmp。
explorer.exe还修改smss.exe、lsass.exe、winlogon.exe、services.exe、svchost.exe、CCenter.exe、Ravmond.exe、rfwsrv.exe、spoolsv.exe等当前运行的所有程序的内存，并在其中创建远程线程（怎么那么像“街头篮球”？！估计是从街头篮球那里找到的“灵感”吧）。它甚至还企图在powershadow进程中创建线程，被我禁止了。
3、改动注册表【如果HijackThis和autoruns等在鸽子感染系统后运行，你就别想看到这些改动——什么反应都没有。即便将autoruns的后缀改为.com，使其能够运行，也扫不到这些注册表改动。】：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
添加：Vbppgryu（指向C:\WINDOWS\system32\sosdrop.sys）
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
添加：paasweq（指向C:\WINDOWS\system32\sosdrop.sys）
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
添加：Gray_Pigeon_Server（指向C:\WINDOWS\G_Server.exe）

好在这只鸽子还是没有注册表监控功能。因此，先用IceSword删除它添加的注册表项，用SSM禁止线程插入（在那些受影响的进程的“规则”中选择“禁止远程数据修改”、“禁止远程代码控制”、“禁止全局钩子”），将SSM设置为自动加载，然后重启系统，删除木马文件，这只鸽子就死翘翘了。

3、改动注册表【如果HijackThis和autoruns等在鸽子感染系统后运行，你就别想看到这些改动——什么反应都没有。即便将autoruns的后缀改为.com，使其能够运行，也扫不到这些注册表改动。】：

...........................