后门病毒“灰鸽子”，ｄｅｌｐｈｉ编写，被压缩。
主要特点：
1。可以穿越防火墙远程控制用户机器。
2。使用madcodehook开发包接管若干api,隐藏病毒文件，给用户杀毒造成障碍。

病毒的破坏行为如下：

一、病毒主程序运行后，把自己复制到系统目录，命名为“g_server.exe”。

win9x和winme下，病毒添加自启动项 software\microsoft\windows\currentversion\run
nt平台下，创建服务“graypigeonserver”，以服务的方式启动病毒。

二、“g_server.exe”运行后，释放“g_server.dll”，然后把该dll注入到“explorer.exe”
病毒使用madcodehook开发包的madremote模块注模块。

以隐藏方式启动浏览器“iexplore.exe”。以远程线程的方式把“g_server.dll”注入到
iexplore.exe”中。这样，在防火墙看来，病毒的网络访问都是“iexplore.exe”，而且是80端口，都会认为是正常访问。
从进程管理器中，用户自然看不到可疑进程。

三、“g_server.dll”是病毒后门功能模块，每隔30秒钟，向指定网址提交本地信息：

系统芯片:
物理内存:
windows版本:
windows目录:
注册公司:
注册用户:
当前用户:
当前日期:
开机时间:
计算机名称:
窗口分辨率:
服务端版本:
剪切板内容：
本地ip地址.

安装名称:
vip用户名:
备用上线地址:
上线分组:
上线备注:
连接密码:
服务名称:
服务显示名称:
服务描述信息:

病毒提供下列远程控制功能：

安装文件
启动键盘记录
停止键盘记录
结束指定的进程
从新启动计算机
启动cmd程序
执行系统命令
获取系统信息
共享文件夹
从指定的地址中下载文件。

　　　
四、病毒把“g_server_hook.dll”使用madcodehook开发包接管下列api。

kernel32.dll 的 findnextfilea、findnextfilew
advapi32.dll 的 enumservicesstatusa、enumservicesstatusw
ntdll.dll 的 ntquerysysteminformation、ntterminateprocess

病毒有个共享数据区：“gpigeon5_shared_hide”，里面可以包含四个文件，病毒这些文件
病防止终止相应进程。所以，一旦感染病毒，用户看不到病毒文件。