網上十大駭客軟體大曝光

網上十大駭客軟體大曝光

Internet網上的駭客網站多如牛毛，駭客軟體也越來越多、越來越黑。筆者現將這些駭客軟體分門別類地曝一曝光，並提出相應的解決方案，以防患於未然。

　　一、古老的WinNuke
　　平台：Windows 95(包括OSR2版)
　　原理：利用Windows 95系統的漏洞，通過TCP/IP協議向遠程機器發送一段資訊，導致一個OOB錯誤，使之崩潰。
　　現象：電腦螢幕上出現一個藍底白字的提示：“系統出現異常錯誤”，按ESC鍵後又回到原來的狀態，或者死機。
　　危害：影響正常工作。
　　對策：用寫字板或其它的編輯軟體建立一個文字檔，檔案名稱為OOBFIX.REG，內容如下：
　　REGEDIT4
　　[HKEY_LOCAL_MACHINESystemCurrentControlSet ServicesVxDMSTCP]
　　″BSDUrgent″=″0″
　　啟動資源管理員，雙擊該檔案即可。

　　二、網路精靈NetSpy
　　平台：Windows 95/Windows 98/Windows NT/Windows 2000
　　原理：NetSpy是一個基於TCP/IP的簡單檔案傳送軟體，實際上你可以將它看作一個沒有許可權控制的增強型FTP伺服器。通過它，駭客可以神不知鬼不覺地下傳和上傳目標機器上的任意檔案，並可以執行一些特殊的操作。

　　現象：螢幕上奇怪地出現一個標題為“信差服務”的對話方塊，其內容是駭客在其監控端上指定的；正常執行的程式（遊戲、Internet瀏覽器、NetTerm、AutoCAD、WORD等等）“在無聲中”關閉；突然關機了；機器異常執行了一些程式;按Ctrl＋Alt＋Del鍵，在出現的工作列中會清楚地看到NetSpy這個進程。

　　危害：機器上的資料安全受到威協。系統中的系統進程和使用者進程，可被隨意的建立(Create)和終止(Kill)。螢幕受到駭客的監視。
　　對策：到註冊表中，刪除[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunService或Run]中的NetSpy.EXE的索引值。

　　三、超級駭客BO 2000
　　平台：Windows 95/Windows 98/Windows 2000
　　原理：BO 2000(Back Orifice)是功能最全的TCP/IP構架的駭客工具。它除了具有NetSpy 2.0的全部功能外，還支援修改用戶端的電腦的註冊表。支援多媒體操作。資料採用加密形式的UDP包，原理與NetSpy v2.0大同小異（實際上NetSpy是BO 2000的一個漢化後的用Visual C＋＋重新編譯的簡裝版）。

　　現象：一切都是在“無聲中”進行。硬碟總是奇怪地在響。
　　危害：機器完全在別人的控制之下，駭客成了超級使用者。連你的所有操作，都可由BO 2000內建的“秘密攝像機”錄製成“錄影帶”。非MSDOS的一切視窗中的鍵盤的按鍵也會分門別類地記錄下來。

　　對策：到註冊表中，刪除[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunService或Run]中的BOGUI.EXE和BOClient索引值。

　　四、垃圾王HDFILL
　　平台：Windows 95/Windows 98/Windows NT/Windows 2000
　　原理：電腦愛好者總喜歡執行SETUP.EXE或INSTALL.EXE看看是什麼軟體HDFILL就是一個“特洛伊木馬”，表面上看像個安裝程式，實際上在“安裝”過程中產生999999999個變長的檔案，直到把你的硬碟“灌”滿為止。

　　現象：可愛的安裝畫面，等你發現時，硬碟中的垃圾太多了。
　　危害：999999999個檔案的清除工作量實在太大，不然只有動用Format來格式化硬碟。
　　對策：用HackerScan v0.69對來曆不明的軟體掃描。

　　五、鍵盤幽靈KeyboardGhost
　　平台：Windows 95/Windows 98/Windows NT/Windows 2000
　　原理：Windows系統是一個以訊息迴圈(Message Loop)為基礎的作業系統。系統的核心區保留了一定的位元組作為鍵盤輸入的緩衝區，其資料結構形式是隊列。鍵盤幽靈正是通過直接存取這一隊列，使鍵盤上輸入的Password（顯示在螢幕上的是星號）得以記錄。

　　現象：在系統根目錄下產生一檔案名稱為KG.DAT的隱含檔案。
　　危害：你的電子郵箱、代理的帳號、密碼會被記錄下來。總之，一切涉及以星號形式顯示出來的密碼視窗的所有符號都會被記錄下來。
　　對策：在註冊表中將[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunService]→KG.EXE這一索引值刪除，並將檔案KG.EXE從WindowsSystem目錄下刪除。還有C:KG.DAT檔案也要刪除。

　　六、火眼金睛的ViewPwd
　　平台：Windows 3.x/Windows 95/Windows 98/Windows NT/Windows 2000
　　原理：通過訪問視窗中的私人資料擷取資訊，使螢幕上加密的星號密碼現出“廬山真面目”。
　　現象：無。
　　危害：泄露個人資訊，可能會蒙受經濟損失。
　　對策：及時清除Foxmail、JetCar之類的軟體中的星號。

　　七、天行刺客
　　平台：Windows 95/Windows 98
　　原理：通過從路由器中竊取未加密的資訊，對指定的機器進行監控。水平極高。
　　現象：無
　　危害：你的E－mail中的UserID和Password會被駭客竊取，你的FTP、BBS登入的使用者名稱和密碼同樣也會被竊取。
　　對策：盡量少用MS DOS下的FTP命令和Windows下的Telnet命令，使用Foxmail和JetCar、DLexpert、NetAnt時小心你的Proxy Password被截取。盡量採用IE或Netscape這樣的瀏覽器上站，因為它們將你的重要資料進行了加密。

　　八、小偷ProxyThief
　　平台：Windows 95/Windows 98/Windows NT
　　原理：通過將你的電腦設定成Proxy 伺服器，讓你繳納網費，用你的IP連入Internet幹壞事，結果你成了“替罪羊”。前提是，駭客必須直接在你的機器上執行ProxyThief，或通過NetSpy或BO 2000遠程執行它。ProxyThief的安裝是在後台進行的，你覺察不到。

　　現象：偶爾機器上網速度變慢。空機不執行任何程式，硬碟也會無故狂轉；用NetInspect v1.0(網路監視)對機器從0到9999連接埠進行掃描，會找出Free Proxy!連接埠，一般經驗不足的駭客不會修改其預設值8080。如果你的機器不是網關或代理，那你的連接埠已經被駭客盜用。

　　危害：蒙受經濟損失，隱藏了駭客。
　　對策：啟動REGEDIT.EXE，尋找關鍵字“ProxyThief”，將所有與之相關的鍵和索引值刪除。

　　九、寄生蟲ExeBind
　　平台：Windows 3.x/Windows 95/Windows 98/Windows NT/Windows 2000
　　原理：該小程式將指定的駭客程式捆綁到任何一個廣為傳播的熱門軟體上，使宿主程式執行時，寄生程式（駭客程式）也在後台被執行。而且支援多重捆綁。實際上是通過多次分割檔案，多次從父進程中調用子進程來實現的。

　　現象：幾乎無。
　　危害：NetSpy、HDFILL、BO 2000常通過這種形式在Internet上寄生傳播。
　　對策：用HackerScan v0.69進行掃描，查出被捆程式，並刪除。

　　十、連接埠獵手PortHunter
　　平台：Windows 95/Windows 98
　　原理：該軟體佔用大量的Socks進行連接埠搜尋，降低區域網路傳輸的效率，危害網路安全。利用系統管理人員的疏忽，盜用SMTP連接埠發E－mail(:119)、盜用沒有密碼的代理連接埠(:8080)、盜用內部使用的FTP連接埠(:25)。

　　現象：區域網路變慢，瀏覽器上不了網，BBS掉線。

　　危害：自己機器的連接埠被駭客盜用，甚至在一些個人首頁上的“免費代理”欄目中出現。這會使一大幫“網蟲”一起來用你的連接埠上Internet、發匿名E－mail、在FTP上“灌水”、使用“郵箱炸彈”、打網上傳呼。到那時，你不僅上不了網，連遊戲都玩不了。

　　對策　對於Novell網為架構的區域網路，我們可以限制指定程式的運行，如：ProxyHunter、Xhunter、SocksHunter、PortScanner、PortHunter。對於其它架構的區域網路的使用者，也可以在伺服器中設定禁止一些駭客程式的運行。但這隻是騙騙小孩的把戲，因為只要將ProxyHunter.EXE更名為123abc.EXE就又可以照“黑”不誤了