NETBUS

NetBus是一個在網路上出現的、和著名網路攻擊程序Back Orifice類似的網路特洛伊木馬程序。它會在被駐留的系統中開一個“後門”，使所有連接到Internet上的人都能神不知鬼不覺地訪問到被駐留機器（如果他有NetBus控制端的話）－－然後控制者可以惡作劇地隨意控制你的滑鼠，在你機器上播放聲音文件，或者打開你的光碟機等，更危險的當然是刪除你的文件，讓你的機器徹底崩潰－－如果他想那樣做的話。

NetBus比Back Orifice更方便使用也更強大（當然也更危險）－－至少它也同樣能控制NT（Back Orifice不能），這恐怕是以為NT非常安全的人的惡夢了！NetBus的最初版本發佈於1998年3月，近來使用較多的是NetBus 1.60和NetBus 1.70。

NetBus由兩部分組成：客戶端程序（netbus.exe）和伺服器端程序（通常文件名為：patch.exe）。要想“控制”遠程機器，必須先將伺服器端程序安裝到遠程機器上－－這一般是通過遠程機器的主人無意中運行了帶有NetBus的所謂特洛伊木馬程序后完成的。這是特洛伊木馬程序的由來，也是此類程序發揮作用的關鍵！因此，不要貿然運行網上下來的程序！這永遠是金玉良言！

特別是NetBus 1.70，它在以前的版本上增加了許多“新功能”，從而使它更具危險性！比如： NetBus 1.60隻能使用固定的伺服器端TCP/IP埠：12345，而在1.70版本中則允許任意改變埠號，從而減少了被發現的可能性；重定向功能（Redirection）更使攻擊者可以通過被控制機控制其網路中的第三台機器，從而偽裝成內部客戶機。這樣，即使路由器拒絕外部地址，只允許內部地址相互通信，攻擊者也依然可以佔領其中一台客戶機並對網中其它機器進行控制。

發現並清除NetBus的方法

不過，NetBus儘管厲害，發現並去除它卻並不困難。

通常，NetBus伺服器端程序是放在Windows的系統目錄中的，它會在Windows啟動時自動啟動。該程序的文件名是patch.exe，如果該程序通過一個名為whackamole.exe的遊戲安裝潛伏的話，文件名應為explore.exe（注意：不是explorer.exe！）或者簡單地叫game.exe。

同時，你可以檢查Windows系統註冊表，NetBus會在下面路徑中加入其自身的啟動項： "\\HKEY_LOCAL_MACHINESOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" NetBus通過該註冊項實現Windows啟動時的自動啟動。但如果你按Ctrl+Alt+Del，在任務列表中是看不到它的存在的。

正確的去除方法如下：

1、運行regedit.exe；

2、找到"\\HKEY_LOCAL_MACHINESOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"；

3、將patch項刪除（或者explore項）；

4、重新啟動機器后刪除Windows系統目錄下的patch.exe（或者explore.exe）即可。

有些木馬程序在種木馬的同時，感染系統文件，所以即使用以上方法去處了木馬，系統文件被運行后，會重新種植木馬。即使是防病毒軟體，也不一定能徹底清除。