网上十大黑客软件大曝光 张铎 2000年 第22期   Internet网上的黑客网站多如牛毛,黑客软件也越来越多、越来越黑。笔者现将这些黑客软件分门别类地曝一曝光,并提出相应的解决方案,以防患于未然。 #1  一、古老的WinNuke   平台:Windows 95(包括OSR2版)   原理:利用Windows 95系统的漏洞,通过TCP/IP协议向远程机器发送一段信息,导致一个OOB错误,使之崩溃。   现象:电脑屏幕上出现一个蓝底白字的提示:“系统出现异常错误”,按ESC键后又回到原来的状态,或者死机。   危害:影响正常工作。   对策:用写字板或其它的编辑软件建立一个文本文件,文件名为OOBFIX.REG,内容如下:   REGEDIT4   [HKEY_LOCAL_MACHINE\System\CurrentControlSet \Services\VxD\MSTCP]   ″BSDUrgent″=″0″   启动资源管理器,双击该文件即可。 #1  二、网络精灵NetSpy   平台:Windows 95/Windows 98/Windows NT/Windows 2000   原理:NetSpy是一个基于TCP/IP的简单文件传送软件,实际上你可以将它看作一个没有权限控制的增强型FTP服务器。通过它,黑客可以神不知鬼不觉地下传和上载目标机器上的任意文件,并可以执行一些特殊的操作。   现象:屏幕上奇怪地出现一个标题为“信使服务”的对话框,其内容是黑客在其监控端上指定的;正常执行的程序(游戏、Internet浏览器、NetTerm、AutoCAD、WORD等等)“在无声中”关闭;突然关机了;机器异常执行了一些程序;按Ctrl+Alt+Del键,在出现的任务栏中会清楚地看到NetSpy这个进程。   危害:机器上的数据安全受到威协。系统中的系统进程和用户进程,可被随意的创建(Create)和终止(Kill)。屏幕受到黑客的监视。   对策:到注册表中,删除[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunService或Run]中的NetSpy.EXE的键值。 #1  三、超级黑客BO 2000   平台:Windows 95/Windows 98/Windows 2000   原理:BO 2000(Back Orifice)是功能最全的TCP/IP构架的黑客工具。它除了具有NetSpy 2.0的全部功能外,还支持修改客户端的电脑的注册表。支持多媒体操作。数据采用加密形式的UDP包,原理与NetSpy v2.0大同小异(实际上NetSpy是BO 2000的一个汉化后的用Visual C++重新编译的简装版)。   现象:一切都是在“无声中”进行。硬盘总是奇怪地在响。   危害:机器完全在别人的控制之下,黑客成了超级用户。连你的所有操作,都可由BO 2000自带的“秘密摄像机”录制成“录像带”。非MSDOS的一切窗口中的键盘的按键也会分门别类地记录下来。   对策:到注册表中,删除[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunService或Run]中的BOGUI.EXE和BOClient键值。 #1  四、垃圾王HDFILL   平台:Windows 95/Windows 98/Windows NT/Windows 2000   原理:电脑爱好者总喜欢执行SETUP.EXE或INSTALL.EXE看看是什么软件,HDFILL就是一个“特洛伊木马”,表面上看像个安装程序,实际上在“安装”过程中产生999999999个变长的文件,直到把你的硬盘“灌”满为止。   现象:可爱的安装画面,等你发现时,硬盘中的垃圾太多了。   危害:999999999个文件的清除工作量实在太大,不然只有动用Format来格式化硬盘。   对策:用HackerScan v0.69对来历不明的软件扫描。 #1  五、键盘幽灵KeyboardGhost   平台:Windows 95/Windows 98/Windows NT/Windows 2000   原理:Windows系统是一个以消息循环(Message Loop)为基础的操作系统。系统的核心区保留了一定的字节作为键盘输入的缓冲区,其数据结构形式是队列。键盘幽灵正是通过直接访问这一队列,使键盘上输入的Password(显示在屏幕上的是星号)得以记录。   现象:在系统根目录下生成一文件名为KG.DAT的隐含文件。   危害:你的电子邮箱、代理的账号、密码会被记录下来。总之,一切涉及以星号形式显示出来的密码窗口的所有符号都会被记录下来。   对策:在注册表中将[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunService]→KG.EXE这一键值删除,并将文件KG.EXE从Windows\System目录下删除。还有C:\KG.DAT文件也要删除。 #1  六、火眼金睛的ViewPwd   平台:Windows 3.x/Windows 95/Windows 98/Windows NT/Windows 2000   原理:通过访问窗口中的私有数据获取信息,使屏幕上加密的星号密码现出“庐山真面目”。   现象:无。   危害:泄露个人信息,可能会蒙受经济损失。   对策:及时清除Foxmail、JetCar之类的软件中的星号。 #1  七、天行刺客   平台:Windows 95/Windows 98   原理:通过从路由器中窃取未加密的信息,对指定的机器进行监控。水平极高。   现象:无   危害:你的E-mail中的UserID和Password会被黑客窃取,你的FTP、BBS登录的用户名和密码同样也会被窃取。   对策:尽量少用MS DOS下的FTP命令和Windows下的Telnet命令,使用Foxmail和JetCar、DLexpert、NetAnt时小心你的Proxy Password被截取。尽量采用IE或Netscape这样的浏览器上站,因为它们将你的重要数据进行了加密。 #1  八、小偷ProxyThief   平台:Windows 95/Windows 98/Windows NT   原理:通过将你的计算机设置成代理服务器,让你缴纳网费,用你的IP连入Internet干坏事,结果你成了“替罪羊”。前提是,黑客必须直接在你的机器上执行ProxyThief,或通过NetSpy或BO 2000远程执行它。ProxyThief的安装是在后台进行的,你觉察不到。   现象:偶尔机器上网速度变慢。空机不执行任何程序,硬盘也会无故狂转;用NetInspect v1.0(网络监视)对机器从0到9999端口进行扫描,会找出Free Proxy!端口,一般经验不足的黑客不会修改其缺省值8080。如果你的机器不是网关或代理,那你的端口已经被黑客盗用。   危害:蒙受经济损失,隐藏了黑客。   对策:启动REGEDIT.EXE,查找关键字“ProxyThief”,将所有与之相关的键和键值删除。 #1  九、寄生虫ExeBind   平台:Windows 3.x/Windows 95/Windows 98/Windows NT/Windows 2000   原理:该小程序将指定的黑客程序捆绑到任何一个广为传播的热门软件上,使宿主程序执行时,寄生程序(黑客程序)也在后台被执行。而且支持多重捆绑。实际上是通过多次分割文件,多次从父进程中调用子进程来实现的。   现象:几乎无。   危害:NetSpy、HDFILL、BO 2000常通过这种形式在Internet上寄生传播。   对策:用HackerScan v0.69进行扫描,查出被捆程序,并删除。 #1  十、端口猎手PortHunter   平台:Windows 95/Windows 98   原理:该软件占用大量的Socks进行端口搜索,降低局域网传输的效率,危害网络安全。利用系统管理人员的疏忽,盗用SMTP端口发E-mail(:119)、盗用没有密码的代理端口(:8080)、盗用内部使用的FTP端口(:25)。   现象:局域网变慢,浏览器上不了网,BBS掉线。   危害:自己机器的端口被黑客盗用,甚至在一些个人主页上的“免费代理”栏目中出现。这会使一大帮“网虫”一起来用你的端口上Internet、发匿名E-mail、在FTP上“灌水”、使用“邮箱炸弹”、打网上传呼。到那时,你不仅上不了网,连游戏都玩不了。   对策 对于Novell网为框架的局域网,我们可以限制指定程序的运行,如:ProxyHunter、Xhunter、SocksHunter、PortScanner、PortHunter。对于其它框架的局域网的用户,也可以在服务器中设定禁止一些黑客程序的运行。但这只是骗骗小孩的把戏,因为只要将ProxyHunter.EXE更名为123abc.EXE就又可以照“黑”不误了。   附:文中提到过的反黑客工具的下载地址:   ●NetInspect v1.21(487K)   http:∥202.114.98.14/~hyne/hack/soft2000/net.zip   ●AntiTortji v5.0(541K)   http:∥member.netease.com/~skywolf/soft/AntiTortji.zip   ●HackerScan v0.6(72K)   http:∥ftp.softhouse.com.cn/download3/21833HackerScan.exe