Netbus 是一个类似于著名的 BackOrifice 的黑客软件,区别在于它的能力要强出太多。Netbus 通过TCP/IP 协议,可以远程将应用程序指派到某一套接字端口来运行,这就相当于说可以远程运行机器上的cmd.exe,想想这是多么危险的事情。
如果不是 the Cult of the Dead Cow 黑客组在今年的 DefCon 大会上发布 BackOrifice 工具而引起轩然大波的话,可能大多数人还不会注意到三月份发行的 Netbus。据说 Netbus 是瑞典程序员 Carl-Fredrik Neikter 为了“和朋友们消遣”而编写的,当时发布在其站点上,此站点现已停办。
粗粗一看,Netbus 似乎没什么危害,只允许黑客控制鼠标,播放声音文件,甚或打开 CD-ROM 托架。但如果深入分析,就不难发现其中大量的破坏性功能,特别它是基于 TCP/IP 协议在 Windows 95、Windows 98、和 Windows NT 上运行的(与 BackOrifice 不同),这大大增加了侵蚀各种用户环境的可能性。
Netbus 1.6 版能实现一些相当危险的操作:黑客能够运行远程程序,进行屏幕抓图,在所侵入的计算机浏览器中打开 URL,显示位图,进行服务器管理操作(如更改口令),甚至利用远端的麦克风录制一段声音。更可怕的是:它能在侵入的计算机上显示信息,向毫无戒心的用户提示输入口令,再把该口令返回到入侵者的屏幕上。Netbus 还能关闭 Windows 系统,下载、上载或删除文件。
11 月 14 日发行 的 Netbus 1.7 新增了更多不正当的功能。如:重定向功能(Redirection)使黑客能够控制网络中的第三台机器,从而伪装成内部客户机。这样,即使路由器拒绝外部地址,只允许内部地址相互通信,黑客也依然可以占领其中一台客户机并对其它无数台机器进行控制。
V1.7 甚至还能指派应用软件至某个端口,以前只有 Netcat ― 黑客的梦幻工具― 用于 Unix 和 NT 时才具有这种功能。例如,黑客可以将 cmd.exe 指派至 Telnet port 23,然后 Telnet 进入该机器,从而接管系统的命令提示符。其危险后果不言自明。
Netbus 的默认状态是在 port 12345 接收指令,在 port 12346 作应答。Telnet 登录到接收端口就会看到产品名称及版本号,还可以修改口令。Netbus 能通过编辑 patch.ini 配置文件,把 1 到 65535 之间的任意数字指定为端口。当需要绕过防火墙或路由过滤器时,端口通常就会设为 53(DNS)或 80(HTTP)。
应对之法
Netbus 的工作方式类似于 BackOrifice,一旦用户在其系统中安装了该软件(不管有意还是无意),黑客就可以取得该用户系统的几乎完全的远程控制权,这一点很象合法的遥控产品(如 PC Anywhere)。
若想手工卸载 Netbus,就先要找到注册密钥 \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run and remove the program (通常是 patch.exe),然后在受侵计算机的硬盘上找到同名文件(扩展名有多种,如 .ini)并删除。
不少杀毒产品都能对付 Netbus,Panda Software (www.pandasoftware.com) 就提供一种免费软件。另外,利用网络扫描工具搜索标准的 Netbus 端口(12345 和 12346)也能够将其检测出来,但缺点是,它只搜索用户指定的端口,由于 Netbus 能随意改变端口号的设置,因此发现 port 12345 并不代表 Netbus 肯定存在于系统中。要找到 Netbus,必须扫描本地系统 ― 可以利用 netstat,在控制台搜索 UDP 找出异常的 UDP 接收端口。
要把 Netbus 从系统中删掉,有许多产品可供选择。Privacy Software(www.privsoft.com)的BOClean32 2.01 等商业产品或是 Puppet (www.dynamsol.com/puppet) 的 Cleaner 1.9c 等免费软件都能胜任这项工作。Cleaner 不仅能有效排除 Netbus 的侵染,还能检测并清除其它多种 Trojans 如BackOrifice、Master's Paradise。
很多站点上都提供 Netbus 的相关信息,包括其二进制文件,功能解释,和卸载步骤。在此我们推荐www.nttoolbox.com 、www.nwi.net/~pchelp/nb/netbus.htm 以及 Privacy Software 的www.privsoft.com/psc-nb.html。
对于 Netbus 和 BackOrifice 这类 Trojan 程序,你的态度如何?其创作者是纯粹为了消遣还是别有险恶用心呢?也许二者都有...
