病毒行为：
该病毒为Windows平台下盗窃用户隐私、远程控制用户机器的后门程序。病毒运行后将自己伪装成系统正常文件，病毒运行后利用进程隐藏技术隐藏病毒进程，使用户中毒无法察觉，并通过反弹端口等技术绕过网络防火墙软件的监视，并主动连接病毒作者的控制端。连接成功后病毒作者可以进行远程控制用户机器，查看、下载中毒机器上的任意文件，记录用户所有电脑操作，盗取用户QQ号码、网银等信息。同时病毒作者还可以进行远程控制用户机器如下载其它病毒，攻击相关网站等等。给用户造成严重威胁、泄露用户隐私。

1、将自身伪装成以下伪系统正常程序:
%Windir%\Winlogon.exe

2、释放出以下病毒主服务器端模块:
%Windir%\WinLog0n.dll

3、 当用户中毒后打开各种常用程序，例如:QQ、讯雷、pplive、MSN等，病毒将自身注入至相应的应用程序中，使病毒能够后台主动连接网络而不易被发现。

4、病毒发作时，会在中毒机器上开启socks5代理服务和HTTP代理服务。如果网络已连通，病毒会主动连接以下网站,解析出最终的连接地址，解析完毕后连接病毒作者的控制端:
http://www.ha****.cn/ip.txt

5、成功连接病毒作者的控制端后，病毒作者能够实时获取用户屏幕内容、实时监视/控制用户摄像头、记录中文聊天记录、查看/下载用户机器上的任意文件、查看/终止用户任意进程，也能够控制被感染机器关机或重启。

6、添加如下病毒服务:
服务名:gS2007
显示名:Windows logon server
服务描述:Windows安全登录程序。如果这个服务被停止，系统将无法正常登录。如果这个服务被禁用，任何依赖它的服务将无法启动。

7、病毒运行后修改如下几个系统关键函数，使用户极难发现灰鸽子病毒感染:
ZwTerminateProcess
FindNextFileA
FindNextFileW
EnumServicesStatusA
RegEnumKeyExW
RegEnumKeyExA
ZwQuerySystemInformation