Internet網上的黑客網站多如牛毛,黑客軟件也越來越多、越來越黑。筆者現將這些黑客軟件分門別類地曝一曝光,并提出相應的解決方案,以防患于未然。
一、古老的WinNuke
平臺:Windows 95(包括OSR2版)
原理:利用Windows 95系統的漏洞,通過TCP/IP協議向遠程機器發送一段信息,導致一個OOB錯誤,使之崩潰。
現象:電腦屏幕上出現一個藍底白字的提示:“系統出現異常錯誤”,按ESC鍵后又回到原來的狀態,或者死機。
危害:影響正常工作。
對策:用寫字板或其它的編輯軟件建立一個文本文件,文件名為OOBFIX.REG,內容如下:
REGEDIT4
[HKEY_LOCAL_MACHINE\System\CurrentControlSet \Services\VxD\MSTCP]
″BSDUrgent″=″0″
啟動資源管理器,雙擊該文件即可。
二、網絡精靈NetSpy
平臺:Windows 95/Windows 98/Windows NT/Windows 2000
原理:NetSpy是一個基于TCP/IP的簡單文件傳送軟件,實際上你可以將它看作一個沒有權限控制的增強型FTP服務器。通過它,黑客可以神不知鬼不覺地下傳和上載目標機器上的任意文件,并可以執行一些特殊的操作。
現象:屏幕上奇怪地出現一個標題為“信使服務”的對話框,其內容是黑客在其監控端上指定的;正常執行的程序(游戲、Internet瀏覽器、NetTerm、AutoCAD、WORD等等)“在無聲中”關閉;突然關機了;機器異常執行了一些程序;按Ctrl+Alt+Del鍵,在出現的任務欄中會清楚地看到NetSpy這個進程。
危害:機器上的數據安全受到威協。系統中的系統進程和用戶進程,可被隨意的創建(Create)和終止(Kill)。屏幕受到黑客的監視。
對策:到注冊表中,刪除[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunService或Run]中的NetSpy.EXE的鍵值。
三、超級黑客BO 2000
平臺:Windows 95/Windows 98/Windows 2000
原理:BO 2000(Back Orifice)是功能最全的TCP/IP構架的黑客工具。它除了具有NetSpy 2.0的全部功能外,還支持修改客戶端的電腦的注冊表。支持多媒體操作。數據采用加密形式的UDP包,原理與NetSpy v2.0大同小異(實際上NetSpy是BO 2000的一個漢化后的用Visual C++重新編譯的簡裝版)。
現象:一切都是在“無聲中”進行。硬盤總是奇怪地在響。
危害:機器完全在別人的控制之下,黑客成了超級用戶。連你的所有操作,都可由BO 2000自帶的“秘密攝像機”錄制成“錄像帶”。非MSDOS的一切窗口中的鍵盤的按鍵也會分門別類地記錄下來。
對策:到注冊表中,刪除[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunService或Run]中的BOGUI.EXE和BOClient鍵值
四、垃圾王HDFILL
平臺:Windows 95/Windows 98/Windows NT/Windows 2000
原理:電腦愛好者總喜歡執行SETUP.EXE或INSTALL.EXE看看是什么軟件,HDFILL就是一個“特洛伊木馬”,表面上看像個安裝程序,實際上在“安裝”過程中產生999999999個變長的文件,直到把你的硬盤“灌”滿為止。
現象:可愛的安裝畫面,等你發現時,硬盤中的垃圾太多了。
危害:999999999個文件的清除工作量實在太大,不然只有動用Format來格式化硬盤。
對策:用HackerScan v0.69對來歷不明的軟件掃描。
五、鍵盤幽靈KeyboardGhost
平臺:Windows 95/Windows 98/Windows NT/Windows 2000
原理:Windows系統是一個以消息循環(Message Loop)為基礎的操作系統。系統的核心區保留了一定的字節作為鍵盤輸入的緩沖區,其數據結構形式是隊列。鍵盤幽靈正是通過直接訪問這一隊列,使鍵盤上輸入的Password(顯示在屏幕上的是星號)得以記錄。
現象:在系統根目錄下生成一文件名為KG.DAT的隱含文件。
危害:你的電子郵箱、代理的賬號、密碼會被記錄下來。總之,一切涉及以星號形式顯示出來的密碼窗口的所有符號都會被記錄下來。
對策:在注冊表中將[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunService]→KG.EXE這一鍵值刪除,并將文件KG.EXE從Windows\System目錄下刪除。還有C:\KG.DAT文件也要刪除。
六、火眼金睛的ViewPwd
平臺:Windows 3.x/Windows 95/Windows 98/Windows NT/Windows 2000
原理:通過訪問窗口中的私有數據獲取信息,使屏幕上加密的星號密碼現出“廬山真面目”。
現象:無。
危害:泄露個人信息,可能會蒙受經濟損失。
對策:及時清除Foxmail、JetCar之類的軟件中的星號。
七、天行刺客
平臺:Windows 95/Windows 98
原理:通過從路由器中竊取未加密的信息,對指定的機器進行監控。水平極高。
現象:無
危害:你的E-mail中的UserID和Password會被黑客竊取,你的FTP、BBS登錄的用戶名和密碼同樣也會被竊取。
對策:盡量少用MS DOS下的FTP命令和Windows下的Telnet命令,使用Foxmail和JetCar、Dlexpert、NetAnt時小心你的Proxy Password被截取。盡量采用IE或Netscape這樣的瀏覽器上站,因為它們將你的重要數據進行了加密。
八、小偷ProxyThief
平臺:Windows 95/Windows 98/Windows NT
原理:通過將你的計算機設置成代理服務器,讓你繳納網費,用你的IP連入Internet干壞事,結果你成了“替罪羊”。前提是,黑客必須直接在你的機器上執行ProxyThief,或通過NetSpy或BO 2000遠程執行它。ProxyThief的安裝是在后臺進行的,你覺察不到。
現象:偶爾機器上網速度變慢。空機不執行任何程序,硬盤也會無故狂轉;用NetInspect v1.0(網絡監視)對機器從0到9999端口進行掃描,會找出Free Proxy!端口,一般經驗不足的黑客不會修改其缺省值8080。如果你的機器不是網關或代理,那你的端口已經被黑客盜用。
危害:蒙受經濟損失,隱藏了黑客。
對策:啟動REGEDIT.EXE,查找關鍵字“ProxyThief”,將所有與之相關的鍵和鍵值刪除。
九、寄生蟲ExeBind
平臺:Windows 3.x/Windows 95/Windows 98/Windows NT/Windows 2000
原理:該小程序將指定的黑客程序捆綁到任何一個廣為傳播的熱門軟件上,使宿主程序執行時,寄生程序(黑客程序)也在后臺被執行。而且支持多重捆綁。實際上是通過多次分割文件,多次從父進程中調用子進程來實現的。
現象:幾乎無。
危害:NetSpy、HDFILL、BO 2000常通過這種形式在Internet上寄生傳播。
對策:用HackerScan v0.69進行掃描,查出被捆程序,并刪除。
十、端口獵手PortHunter
平臺:Windows 95/Windows 98
原理:該軟件占用大量的Socks進行端口搜索,降低局域網傳輸的效率,危害網絡安全。利用系統管理人員的疏忽,盜用SMTP端口發E-mail(:119)、盜用沒有密碼的代理端口(:8080)、盜用內部使用的FTP端口(:25)。
現象:局域網變慢,瀏覽器上不了網,BBS掉線。
危害:自己機器的端口被黑客盜用,甚至在一些個人主頁上的“免費代理”欄目中出現。這會使一大幫“網蟲”一起來用你的端口上Internet、發匿名E-mail、在FTP上“灌水”、使用“郵箱炸彈”、打網上傳呼。到那時,你不僅上不了網,連游戲都玩不了。
對策:對于Novell網為框架的局域網,我們可以限制指定程序的運行,如:ProxyHunter、Xhunter、SocksHunter、PortScanner、PortHunter。對于其它框架的局域網的用戶,也可以在服務器中設定禁止一些黑客程序的運行。但這只是騙騙小孩的把戲,因為只要將ProxyHunter.EXE更名為123abc.EXE就又可以照“黑”不誤了。