在QQ群上有一位网友（同时也是卡卡社区的会员）因中灰鸽子而求助，HijackThis日志中可见其服务项systemLog，灰鸽子病毒文件为C:\WINDOWS\system32\shellext\services.exe。
拿到病毒样本，在我的虚拟机中，打开SSM（2.0.7.570版，当然现在有更新的版本）来监视它的行为。
双击运行病毒样本，SSM提示其运行，并提示C:\WINDOWS\system32\services.exe欲运行C:\WINDOWS\system32\shellext\services.exe，通通点“允许”－“操作仅当次”。同时模块报警，该程序创建服务项，在意料之中，先不理。之后SSM静下来。
重启（SSM没有设为开机自启动），在未开IE的情况下任务管理器和SSM的进程窗口均可见一个iexplore.exe程序在运行。用任务管理器结束这个程序。
接着打开SSM的日志，依照日志中的项目删除注册表项。
先展开注册表
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]
删除systemLog项目（图1）
这项也不意外。

然而，接下来的项目就比较意外了：
重启之前记录下来的SSM的日志显示，病毒除了在
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]
创建systemLog项目外，还在
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services]
也创建systemLog项目（两个项目子项并不一样）
（图2）

但是当我到
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services]
去寻找这一项时，居然没有找到。
为保险，我还用IceSword再找，也没有找到。

但是，却在
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services]
意外的发现了systemLog项目，从其项目内容看，似乎正与此前在
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services]
的项目内容一致（图3）

由于虚拟机中的SSM没有设为开机自动加载，所以并没有观察到重启之后灰鸽子运行并创建进程的整个过程。
是否在这个过程中，病毒删除了原来在
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services]
的注册表项，而在
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services]
重新创建了相同的项目？
病毒的作者这样设计的意图是什么呢？是用变换注册表位置来隐藏自己吗？

这个灰鸽子处理起来依然简单：
结束病毒创建的iexplore.exe进程
删除注册表
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services]
下的systemLog项目
最后显示隐藏文件并删除
C:\WINDOWS\system32\shellext\services.exe
之后删除shellext文件夹（并无其他dll文件）
即解决问题。
但是它的以上“注册表项转移”的行为出乎我的意料，看来灰鸽子是越来越花样百出了。

2

3