深入了解　網上十大經典駭客軟體曝光
作者：lvvl　來源：賽迪網安全社區　發佈時間：2006.11.03

Internet網上的駭客網站多如牛毛，駭客軟體也越來越多、越來越黑。筆者現將這些駭客軟體分門別類地曝一曝光，並提出相應的解決方案，以防患于未然。

一、古老的WinNuke
平臺：Windows 95(包括OSR2版)
原理：利用Windows 95系統的漏洞，通過TCP/IP協議向遠程機器發送一段資訊，導致一個OOB錯誤，使之崩潰。
現象：電腦螢幕上出現一個藍底白字的提示：“系統出現異常錯誤”，按ESC鍵後又回到原來的狀態，或者死機。
危害：影響正常工作。
對策：用寫字板或其他的編輯軟體建立一個文本文件，文件名為OOBFIX.REG，內容如下：
　　REGEDIT4
　　[HKEY_LOCAL_MACHINE\System\CurrentControlSet \Services\VxD\MSTCP]
　　〃BSDUrgent〃=〃0〃
啟動資源管理器，雙擊該文件即可。

二、網路精靈NetSpy
平臺：Windows 95/Windows 98/Windows NT/Windows 2000
原理：NetSpy是一個基於TCP/IP的簡單文件傳送軟體，實際上你可以將它看作一個沒有許可權控制的增強型FTP伺服器。通過它，駭客可以神不知鬼不覺地下傳和上載目標機器上的任意文件，並可以執行一些特殊的操作。
現象：螢幕上奇怪地出現一個標題為“信使服務”的對話方塊，其內容是駭客在其監控端上指定的；正常執行的程式（遊戲、Internet瀏覽器、NetTerm、AutoCAD、WORD等等）“在無聲中”關閉；突然關機了；機器異常執行了一些程式;按Ctrl＋Alt＋Del鍵，在出現的任務欄中會清楚地看到NetSpy這個進程。
危害：機器上的數據安全受到威協。系統中的系統進程和用戶進程，可被隨意的創建(Create)和終止(Kill)。螢幕受到駭客的監視。
對策：到註冊表中，刪除[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunService或Run]中的NetSpy.EXE的鍵值。

三、超級駭客BO 2000
平臺：Windows 95/Windows 98/Windows 2000
原理：BO 2000(Back Orifice)是功能最全的TCP/IP構架的駭客工具。它除了具有NetSpy 2.0的全部功能外，還支援修改客戶端的電腦的註冊表。支援多媒體操作。數據採用加密形式的UDP包，原理與NetSpy v2.0大同小異（實際上NetSpy是BO 2000的一個漢化後的用Visual C＋＋重新編譯的簡裝版）。
現象：一切都是在“無聲中”進行。硬盤總是奇怪地在響。
危害：機器完全在別人的控制之下，駭客成了超級用戶。連你的所有操作，都可由BO 2000自帶的“秘密攝像機”錄製成“錄影帶”。非MSDOS的一切窗口中的鍵盤的按鍵也會分門別類地記錄下來。
對策：到註冊表中，刪除[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunService或Run]中的BOGUI.EXE和BOClient鍵值

四、垃圾王HDFILL
平臺：Windows 95/Windows 98/Windows NT/Windows 2000
原理：電腦愛好者總喜歡執行SETUP.EXE或INSTALL.EXE看看是什麼軟體,HDFILL就是一個“特洛伊木馬”，表面上看像個安裝程式，實際上在“安裝”過程中產生999999999個變長的文件，直到把你的硬盤“灌”滿為止。
現象：可愛的安裝畫面，等你發現時，硬盤中的垃圾太多了。
危害：999999999個文件的清除工作量實在太大，不然只有動用Format來格式化硬盤。
對策：用HackerScan v0.69對來歷不明的軟體掃描。

五、鍵盤幽靈KeyboardGhost
平臺：Windows 95/Windows 98/Windows NT/Windows 2000
原理：Windows系統是一個以消息迴圈(Message Loop)為基礎的作業系統。系統的核心區保留了一定的字節作為鍵盤輸入的緩衝區，其數據結構形式是隊列。鍵盤幽靈正是通過直接訪問這一隊列，使鍵盤上輸入的Password（顯示在螢幕上的是星號）得以記錄。
現象：在系統根目錄下生成一文件名為KG.DAT的隱含文件。
危害：你的電子郵箱、代理的賬號、密碼會被記錄下來。總之，一切涉及以星號形式顯示出來的密碼窗口的所有符號都會被記錄下來。
對策：在註冊表中將[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunService]→KG.EXE這一鍵值刪除，並將文件KG.EXE從Windows\System目錄下刪除。還有C:\KG.DAT文件也要刪除。

六、火眼金睛的ViewPwd
平臺：Windows 3.x/Windows 95/Windows 98/Windows NT/Windows 2000
原理：通過訪問窗口中的私有數據獲取資訊，使螢幕上加密的星號密碼現出“廬山真面目”。
現象：無。
危害：洩露個人資訊，可能會蒙受經濟損失。
對策：及時清除Foxmail、JetCar之類的軟體中的星號。

七、天行刺客
平臺：Windows 95/Windows 98
原理：通過從路由器中竊取未加密的資訊，對指定的機器進行監控。水準極高。
現象：無
危害：你的E－mail中的UserID和Password會被駭客竊取，你的FTP、BBS登錄的用戶名和密碼同樣也會被竊取。
對策：儘量少用MS DOS下的FTP命令和Windows下的Telnet命令，使用Foxmail和JetCar、Dlexpert、NetAnt時小心你的Proxy Password被截取。儘量採用IE或Netscape這樣的瀏覽器上站，因為它們將你的重要數據進行了加密。

八、小偷ProxyThief
平臺：Windows 95/Windows 98/Windows NT
原理：通過將你的電腦設置成代理伺服器，讓你繳納網費，用你的IP連入Internet幹壞事，結果你成了“替罪羊”。前提是，駭客必須直接在你的機器上執行ProxyThief，或通過NetSpy或BO 2000遠程執行它。ProxyThief的安裝是在後臺進行的，你覺察不到。
現象：偶爾機器上網速度變慢。空機不執行任何程式，硬盤也會無故狂轉；用NetInspect v1.0(網路監視)對機器從0到9999端口進行掃描，會找出Free Proxy!端口，一般經驗不足的駭客不會修改其缺省值8080。如果你的機器不是網關或代理，那你的端口已經被駭客盜用。
危害：蒙受經濟損失，隱藏了駭客。
對策：啟動REGEDIT.EXE，搜尋關鍵字“ProxyThief”，將所有與之相關的鍵和鍵值刪除。

九、寄生蟲ExeBind
平臺：Windows 3.x/Windows 95/Windows 98/Windows NT/Windows 2000
原理：該小程式將指定的駭客程式捆綁到任何一個廣為傳播的熱門軟體上，使宿主程式執行時，寄生程式（駭客程式）也在後臺被執行。而且支援多重捆綁。實際上是通過多次分割文件，多次從父進程中調用子進程來實現的。
現象：幾乎無。
危害：NetSpy、HDFILL、BO 2000常通過這種形式在Internet上寄生傳播。
對策：用HackerScan v0.69進行掃描，查出被捆程式，並刪除。

十、端口獵手PortHunter
平臺：Windows 95/Windows 98
原理：該軟體佔用大量的Socks進行端口搜索，降低局域網傳輸的效率，危害網路安全。利用系統管理人員的疏忽，盜用SMTP端口發E－mail(:119)、盜用沒有密碼的代理端口(:8080)、盜用內部使用的FTP端口(:25)。
現象：局域網變慢，瀏覽器上不了網，BBS掉線。
危害：自己機器的端口被駭客盜用，甚至在一些個人主頁上的“免費代理”欄目中出現。這會使一大幫“網蟲”一起來用你的端口上Internet、發匿名E－mail、在FTP上“灌水”、使用“郵箱炸彈”、打網上傳呼。到那時，你不僅上不了網，連遊戲都玩不了。
對策：對於Novell網為框架的局域網，我們可以限制指定程式的運行，如：ProxyHunter、Xhunter、SocksHunter、PortScanner、PortHunter。對於其他框架的局域網的用戶，也可以在伺服器中設定禁止一些駭客程式的運行。但這只是騙騙小孩的把戲，因為只要將ProxyHunter.EXE更名為123abc.EXE就又可以照“黑”不誤了。