Internet網(wǎng)上的黑客網(wǎng)站多如牛毛,黑客軟件也越來越多、越來越黑。筆者現(xiàn)將這些黑客軟件分門別類地曝一曝光,并提出相應(yīng)的解決方案,以防患于未然。
一、古老的WinNuke
平臺:Windows 95(包括OSR2版)
原理:利用Windows 95系統(tǒng)的漏洞,通過TCP/IP協(xié)議向遠(yuǎn)程機(jī)器發(fā)送一段信息,導(dǎo)致一個(gè)OOB錯(cuò)誤,使之崩潰。
現(xiàn)象:電腦屏幕上出現(xiàn)一個(gè)藍(lán)底白字的提示:“系統(tǒng)出現(xiàn)異常錯(cuò)誤”,按ESC鍵后又回到原來的狀態(tài),或者死機(jī)。
危害:影響正常工作。
對策:用寫字板或其它的編輯軟件建立一個(gè)文本文件,文件名為OOBFIX.REG,內(nèi)容如下:
REGEDIT4
[HKEY_LOCAL_MACHINE\System\CurrentControlSet \Services\VxD\MSTCP]
″BSDUrgent″=″0″
啟動資源管理器,雙擊該文件即可。
二、網(wǎng)絡(luò)精靈NetSpy
平臺:Windows 95/Windows 98/Windows NT/Windows 2000
原理:NetSpy是一個(gè)基于TCP/IP的簡單文件傳送軟件,實(shí)際上你可以將它看作一個(gè)沒有權(quán)限控制的增強(qiáng)型FTP服務(wù)器。通過它,黑客可以神不知鬼不覺地下傳和上載目標(biāo)機(jī)器上的任意文件,并可以執(zhí)行一些特殊的操作。
現(xiàn)象:屏幕上奇怪地出現(xiàn)一個(gè)標(biāo)題為“信使服務(wù)”的對話框,其內(nèi)容是黑客在其監(jiān)控端上指定的;正常執(zhí)行的程序(游戲、Internet瀏覽器、NetTerm、AutoCAD、WORD等等)“在無聲中”關(guān)閉;突然關(guān)機(jī)了;機(jī)器異常執(zhí)行了一些程序;按Ctrl+Alt+Del鍵,在出現(xiàn)的任務(wù)欄中會清楚地看到NetSpy這個(gè)進(jìn)程。
危害:機(jī)器上的數(shù)據(jù)安全受到威協(xié)。系統(tǒng)中的系統(tǒng)進(jìn)程和用戶進(jìn)程,可被隨意的創(chuàng)建(Create)和終止(Kill)。屏幕受到黑客的監(jiān)視。
對策:到注冊表中,刪除[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunService或Run]中的NetSpy.EXE的鍵值。
三、超級黑客BO 2000
平臺:Windows 95/Windows 98/Windows 2000
原理:BO 2000(Back Orifice)是功能最全的TCP/IP構(gòu)架的黑客工具。它除了具有NetSpy 2.0的全部功能外,還支持修改客戶端的電腦的注冊表。支持多媒體操作。數(shù)據(jù)采用加密形式的UDP包,原理與NetSpy v2.0大同小異(實(shí)際上NetSpy是BO 2000的一個(gè)漢化后的用Visual C++重新編譯的簡裝版)。
現(xiàn)象:一切都是在“無聲中”進(jìn)行。硬盤總是奇怪地在響。
危害:機(jī)器完全在別人的控制之下,黑客成了超級用戶。連你的所有操作,都可由BO 2000自帶的“秘密攝像機(jī)”錄制成“錄像帶”。非MSDOS的一切窗口中的鍵盤的按鍵也會分門別類地記錄下來。
對策:到注冊表中,刪除[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunService或Run]中的BOGUI.EXE和BOClient鍵值
四、垃圾王HDFILL
平臺:Windows 95/Windows 98/Windows NT/Windows 2000
原理:電腦愛好者總喜歡執(zhí)行SETUP.EXE或INSTALL.EXE看看是什么軟件,HDFILL就是一個(gè)“特洛伊木馬”,表面上看像個(gè)安裝程序,實(shí)際上在“安裝”過程中產(chǎn)生999999999個(gè)變長的文件,直到把你的硬盤“灌”滿為止。
現(xiàn)象:可愛的安裝畫面,等你發(fā)現(xiàn)時(shí),硬盤中的垃圾太多了。
危害:999999999個(gè)文件的清除工作量實(shí)在太大,不然只有動用Format來格式化硬盤。
對策:用HackerScan v0.69對來歷不明的軟件掃描。
五、鍵盤幽靈KeyboardGhost
平臺:Windows 95/Windows 98/Windows NT/Windows 2000
原理:Windows系統(tǒng)是一個(gè)以消息循環(huán)(Message Loop)為基礎(chǔ)的操作系統(tǒng)。系統(tǒng)的核心區(qū)保留了一定的字節(jié)作為鍵盤輸入的緩沖區(qū),其數(shù)據(jù)結(jié)構(gòu)形式是隊(duì)列。鍵盤幽靈正是通過直接訪問這一隊(duì)列,使鍵盤上輸入的Password(顯示在屏幕上的是星號)得以記錄。
現(xiàn)象:在系統(tǒng)根目錄下生成一文件名為KG.DAT的隱含文件。
危害:你的電子郵箱、代理的賬號、密碼會被記錄下來。總之,一切涉及以星號形式顯示出來的密碼窗口的所有符號都會被記錄下來。
對策:在注冊表中將[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunService]→KG.EXE這一鍵值刪除,并將文件KG.EXE從Windows\System目錄下刪除。還有C:\KG.DAT文件也要刪除。
六、火眼金睛的ViewPwd
平臺:Windows 3.x/Windows 95/Windows 98/Windows NT/Windows 2000
原理:通過訪問窗口中的私有數(shù)據(jù)獲取信息,使屏幕上加密的星號密碼現(xiàn)出“廬山真面目”。
現(xiàn)象:無。
危害:泄露個(gè)人信息,可能會蒙受經(jīng)濟(jì)損失。
對策:及時(shí)清除Foxmail、JetCar之類的軟件中的星號。
七、天行刺客
平臺:Windows 95/Windows 98
原理:通過從路由器中竊取未加密的信息,對指定的機(jī)器進(jìn)行監(jiān)控。水平極高。
現(xiàn)象:無
危害:你的E-mail中的UserID和Password會被黑客竊取,你的FTP、BBS登錄的用戶名和密碼同樣也會被竊取。
對策:盡量少用MS DOS下的FTP命令和Windows下的Telnet命令,使用Foxmail和JetCar、Dlexpert、NetAnt時(shí)小心你的Proxy Password被截取。盡量采用IE或Netscape這樣的瀏覽器上站,因?yàn)樗鼈儗⒛愕闹匾獢?shù)據(jù)進(jìn)行了加密。
八、小偷ProxyThief
平臺:Windows 95/Windows 98/Windows NT
原理:通過將你的計(jì)算機(jī)設(shè)置成代理服務(wù)器,讓你繳納網(wǎng)費(fèi),用你的IP連入Internet干壞事,結(jié)果你成了“替罪羊”。前提是,黑客必須直接在你的機(jī)器上執(zhí)行ProxyThief,或通過NetSpy或BO 2000遠(yuǎn)程執(zhí)行它。ProxyThief的安裝是在后臺進(jìn)行的,你覺察不到。
現(xiàn)象:偶爾機(jī)器上網(wǎng)速度變慢。空機(jī)不執(zhí)行任何程序,硬盤也會無故狂轉(zhuǎn);用NetInspect v1.0(網(wǎng)絡(luò)監(jiān)視)對機(jī)器從0到9999端口進(jìn)行掃描,會找出Free Proxy!端口,一般經(jīng)驗(yàn)不足的黑客不會修改其缺省值8080。如果你的機(jī)器不是網(wǎng)關(guān)或代理,那你的端口已經(jīng)被黑客盜用。
危害:蒙受經(jīng)濟(jì)損失,隱藏了黑客。
對策:啟動REGEDIT.EXE,查找關(guān)鍵字“ProxyThief”,將所有與之相關(guān)的鍵和鍵值刪除。
九、寄生蟲ExeBind
平臺:Windows 3.x/Windows 95/Windows 98/Windows NT/Windows 2000
原理:該小程序?qū)⒅付ǖ暮诳统绦蚶壍饺魏我粋€(gè)廣為傳播的熱門軟件上,使宿主程序執(zhí)行時(shí),寄生程序(黑客程序)也在后臺被執(zhí)行。而且支持多重捆綁。實(shí)際上是通過多次分割文件,多次從父進(jìn)程中調(diào)用子進(jìn)程來實(shí)現(xiàn)的。
現(xiàn)象:幾乎無。
危害:NetSpy、HDFILL、BO 2000常通過這種形式在Internet上寄生傳播。
對策:用HackerScan v0.69進(jìn)行掃描,查出被捆程序,并刪除。
十、端口獵手PortHunter
平臺:Windows 95/Windows 98
原理:該軟件占用大量的Socks進(jìn)行端口搜索,降低局域網(wǎng)傳輸?shù)男剩:W(wǎng)絡(luò)安全。利用系統(tǒng)管理人員的疏忽,盜用SMTP端口發(fā)E-mail(:119)、盜用沒有密碼的代理端口(:8080)、盜用內(nèi)部使用的FTP端口(:25)。
現(xiàn)象:局域網(wǎng)變慢,瀏覽器上不了網(wǎng),BBS掉線。
危害:自己機(jī)器的端口被黑客盜用,甚至在一些個(gè)人主頁上的“免費(fèi)代理”欄目中出現(xiàn)。這會使一大幫“網(wǎng)蟲”一起來用你的端口上Internet、發(fā)匿名E-mail、在FTP上“灌水”、使用“郵箱炸彈”、打網(wǎng)上傳呼。到那時(shí),你不僅上不了網(wǎng),連游戲都玩不了。
對策:對于Novell網(wǎng)為框架的局域網(wǎng),我們可以限制指定程序的運(yùn)行,如:ProxyHunter、Xhunter、SocksHunter、PortScanner、PortHunter。對于其它框架的局域網(wǎng)的用戶,也可以在服務(wù)器中設(shè)定禁止一些黑客程序的運(yùn)行。但這只是騙騙小孩的把戲,因?yàn)橹灰獙roxyHunter.EXE更名為123abc.EXE就又可以照“黑”不誤了。