-
NETBUS
鎖定
- 外文名
- NETBUS
- 特 點
- 不是病毒
- 被認為
- 是特洛伊木馬
- 常用於
- 常被用來偷竊數據和刪除文件
NETBUS程序介紹
NetBus是一個在網絡上出現的、和著名網絡攻擊程序Back Orifice類似的網絡特洛伊木馬程序。它會在被駐留的系統中開一個“後門”,使所有連接到Internet上的人都能神不知鬼不覺地訪問到被駐留機器(如果他有NetBus控制端的話)--然後控制者可以惡作劇地隨意控制你的鼠標,在你機器上播放聲音文件,或者打開你的光驅等,更危險的當然是刪除你的文件,讓你的機器徹底崩潰--如果他想那樣做的話。
NetBus比Back Orifice更方便使用也更強大(當然也更危險)--至少它也同樣能控制NT(Back Orifice不能),這恐怕是以為NT非常安全的人的惡夢了。NetBus的最初版本發佈於1998年3月,近來使用較多的是NetBus 1.60和NetBus 1.70。
NETBUS攻擊原理
NetBus由兩部分組成:客户端程序(netbus.exe)和服務器端程序(通常文件名為:patch.exe)。要想“控制”遠程機器,必須先將服務器端程序安裝到遠程機器上--這一般是通過遠程機器的主人無意中運行了帶有NetBus的所謂特洛伊木馬程序後完成的。這是特洛伊木馬程序的由來,也是此類程序發揮作用的關鍵。因此,不要貿然運行網上下來的程序,這永遠是金玉良言。
特別是NetBus 1.70,它在以前的版本上增加了許多“新功能”,從而使它更具危險性。比如: NetBus 1.60只能使用固定的服務器端TCP/IP端口:12345,而在1.70版本中則允許任意改變端口號,從而減少了被發現的可能性;重定向功能(Redirection)更使攻擊者可以通過被控制機控制其網絡中的第三台機器,從而偽裝成內部客户機。這樣,即使路由器拒絕外部地址,只允許內部地址相互通信,攻擊者也依然可以佔領其中一台客户機並對網中其它機器進行控制。
NETBUS應對方法
- 運行Windows系統的註冊表編輯器(regedit.exe);
- 找到"\\HKEY_LOCAL_MACHINESOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run";
- 將patch項刪除(或者explore項);
- 重新啓動機器後刪除Windows系統目錄下的patch.exe(或者explore.exe)即可。
有些木馬程序在種木馬的同時,感染系統文件,所以即使用以上方法去處了木馬,系統文件被運行後,會重新種植木馬。即使是防病毒軟件,也不一定能徹底清除。
- 詞條統計
-
- 瀏覽次數:次
- 編輯次數:12次歷史版本
- 最近更新: 小蚂蚱biubiu啊