NETBUS
NETBUS
NetBus不是病毒,但被認為是特洛伊木馬。它十分廣泛,常被用來偷竊數據和刪除文件。Netbus允許黑客讀取數據和在遠程控制一些視窗功能。Netbus工具有客戶和伺服器部分。伺服器部分安裝在遠端用於存儲的系統中。Netbus1.60版的伺服器是視窗PE文件,叫PATCH.EXE。在執行過程中,伺服器把自己安裝在Windows目錄,並在視窗下次啟動時自動運行。
NetBus是一個在網路上出現的、和著名網路攻擊程序Back Orifice類似的網路特洛伊木馬程序。它會在被駐留的系統中開一個“後門”,使所有連接到Internet上的人都能神不知鬼不覺地訪問到被駐留機器(如果他有NetBus控制端的話)--然後控制者可以惡作劇地隨意控制你的滑鼠,在你機器上播放聲音文件,或者打開你的光碟機等,更危險的當然是刪除你的文件,讓你的機器徹底崩潰--如果他想那樣做的話。
NetBus比Back Orifice更方便使用也更強大(當然也更危險)--至少它也同樣能控制NT(Back Orifice不能),這恐怕是以為NT非常安全的人的惡夢了!NetBus的最初版本發佈於1998年3月,近來使用較多的是NetBus 1.60和NetBus 1.70。
NetBus由兩部分組成:客戶端程序(netbus.exe)和伺服器端程序(通常文件名為:patch.exe)。要想“控制”遠程機器,必須先將伺服器端程序安裝到遠程機器上--這一般是通過遠程機器的主人無意中運行了帶有NetBus的所謂特洛伊木馬程序后完成的。這是特洛伊木馬程序的由來,也是此類程序發揮作用的關鍵!因此,不要貿然運行網上下來的程序!這永遠是金玉良言!
特別是NetBus 1.70,它在以前的版本上增加了許多“新功能”,從而使它更具危險性!比如: NetBus 1.60隻能使用固定的伺服器端TCP/IP埠:12345,而在1.70版本中則允許任意改變埠號,從而減少了被發現的可能性;重定向功能(Redirection)更使攻擊者可以通過被控制機控制其網路中的第三台機器,從而偽裝成內部客戶機。這樣,即使路由器拒絕外部地址,只允許內部地址相互通信,攻擊者也依然可以佔領其中一台客戶機並對網中其它機器進行控制。
發現並清除NetBus的方法
不過,NetBus儘管厲害,發現並去除它卻並不困難。
通常,NetBus伺服器端程序是放在Windows的系統目錄中的,它會在Windows啟動時自動啟動。該程序的文件名是patch.exe,如果該程序通過一個名為whackamole.exe的遊戲安裝潛伏的話,文件名應為explore.exe(注意:不是explorer.exe!)或者簡單地叫game.exe。
同時,你可以檢查Windows系統註冊表,NetBus會在下面路徑中加入其自身的啟動項: "\\HKEY_LOCAL_MACHINESOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" NetBus通過該註冊項實現Windows啟動時的自動啟動。但如果你按Ctrl+Alt+Del,在任務列表中是看不到它的存在的。
正確的去除方法如下:
1、運行regedit.exe;
2、找到"\\HKEY_LOCAL_MACHINESOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run";
3、將patch項刪除(或者explore項);
4、重新啟動機器后刪除Windows系統目錄下的patch.exe(或者explore.exe)即可。
有些木馬程序在種木馬的同時,感染系統文件,所以即使用以上方法去處了木馬,系統文件被運行后,會重新種植木馬。即使是防病毒軟體,也不一定能徹底清除。