深入了解　网上十大经典骇客软体曝光
作者：lvvl　来源：赛迪网安全社区　发布时间：2006.11.03

Internet网上的骇客网站多如牛毛，骇客软体也越来越多、越来越黑。笔者现将这些骇客软体分门别类地曝一曝光，并提出相应的解决方案，以防患于未然。

一、古老的WinNuke
平台：Windows 95(包括OSR2版)
原理：利用Windows 95系统的漏洞，通过TCP/IP协议向远程机器发送一段资讯，导致一个OOB错误，使之崩溃。
现象：电脑萤幕上出现一个蓝底白字的提示：“系统出现异常错误”，按ESC键后又回到原来的状态，或者死机。
危害：影响正常工作。
对策：用写字板或其他的编辑软体建立一个文本文件，文件名为OOBFIX.REG，内容如下：
　　REGEDIT4
　　[HKEY_LOCAL_MACHINE\System\CurrentControlSet \Services\VxD\MSTCP]
　　〃BSDUrgent〃=〃0〃
启动资源管理器，双击该文件即可。

二、网路精灵NetSpy
平台：Windows 95/Windows 98/Windows NT/Windows 2000
原理：NetSpy是一个基于TCP/IP的简单文件传送软体，实际上你可以将它看作一个没有许可权控制的增强型FTP伺服器。通过它，骇客可以神不知鬼不觉地下传和上载目标机器上的任意文件，并可以执行一些特殊的操作。
现象：萤幕上奇怪地出现一个标题为“信使服务”的对话方块，其内容是骇客在其监控端上指定的；正常执行的程式（游戏、Internet浏览器、NetTerm、AutoCAD、WORD等等）“在无声中”关闭；突然关机了；机器异常执行了一些程式;按Ctrl＋Alt＋Del键，在出现的任务栏中会清楚地看到NetSpy这个进程。
危害：机器上的数据安全受到威协。系统中的系统进程和用户进程，可被随意的创建(Create)和终止(Kill)。萤幕受到骇客的监视。
对策：到注册表中，删除[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunService或Run]中的NetSpy.EXE的键值。

三、超级骇客BO 2000
平台：Windows 95/Windows 98/Windows 2000
原理：BO 2000(Back Orifice)是功能最全的TCP/IP构架的骇客工具。它除了具有NetSpy 2.0的全部功能外，还支援修改客户端的电脑的注册表。支援多媒体操作。数据采用加密形式的UDP包，原理与NetSpy v2.0大同小异（实际上NetSpy是BO 2000的一个汉化后的用Visual C＋＋重新编译的简装版）。
现象：一切都是在“无声中”进行。硬盘总是奇怪地在响。
危害：机器完全在别人的控制之下，骇客成了超级用户。连你的所有操作，都可由BO 2000自带的“秘密摄像机”录制成“录影带”。非MSDOS的一切窗口中的键盘的按键也会分门别类地记录下来。
对策：到注册表中，删除[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunService或Run]中的BOGUI.EXE和BOClient键值

四、垃圾王HDFILL
平台：Windows 95/Windows 98/Windows NT/Windows 2000
原理：电脑爱好者总喜欢执行SETUP.EXE或INSTALL.EXE看看是什么软体,HDFILL就是一个“特洛伊木马”，表面上看像个安装程式，实际上在“安装”过程中产生999999999个变长的文件，直到把你的硬盘“灌”满为止。
现象：可爱的安装画面，等你发现时，硬盘中的垃圾太多了。
危害：999999999个文件的清除工作量实在太大，不然只有动用Format来格式化硬盘。
对策：用HackerScan v0.69对来历不明的软体扫描。

五、键盘幽灵KeyboardGhost
平台：Windows 95/Windows 98/Windows NT/Windows 2000
原理：Windows系统是一个以消息回圈(Message Loop)为基础的作业系统。系统的核心区保留了一定的字节作为键盘输入的缓冲区，其数据结构形式是队列。键盘幽灵正是通过直接访问这一队列，使键盘上输入的Password（显示在萤幕上的是星号）得以记录。
现象：在系统根目录下生成一文件名为KG.DAT的隐含文件。
危害：你的电子邮箱、代理的账号、密码会被记录下来。总之，一切涉及以星号形式显示出来的密码窗口的所有符号都会被记录下来。
对策：在注册表中将[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunService]→KG.EXE这一键值删除，并将文件KG.EXE从Windows\System目录下删除。还有C:\KG.DAT文件也要删除。

六、火眼金睛的ViewPwd
平台：Windows 3.x/Windows 95/Windows 98/Windows NT/Windows 2000
原理：通过访问窗口中的私有数据获取资讯，使萤幕上加密的星号密码现出“庐山真面目”。
现象：无。
危害：泄露个人资讯，可能会蒙受经济损失。
对策：及时清除Foxmail、JetCar之类的软体中的星号。

七、天行刺客
平台：Windows 95/Windows 98
原理：通过从路由器中窃取未加密的资讯，对指定的机器进行监控。水准极高。
现象：无
危害：你的E－mail中的UserID和Password会被骇客窃取，你的FTP、BBS登录的用户名和密码同样也会被窃取。
对策：尽量少用MS DOS下的FTP命令和Windows下的Telnet命令，使用Foxmail和JetCar、Dlexpert、NetAnt时小心你的Proxy Password被截取。尽量采用IE或Netscape这样的浏览器上站，因为它们将你的重要数据进行了加密。

八、小偷ProxyThief
平台：Windows 95/Windows 98/Windows NT
原理：通过将你的电脑设置成代理伺服器，让你缴纳网费，用你的IP连入Internet干坏事，结果你成了“替罪羊”。前提是，骇客必须直接在你的机器上执行ProxyThief，或通过NetSpy或BO 2000远程执行它。ProxyThief的安装是在后台进行的，你觉察不到。
现象：偶尔机器上网速度变慢。空机不执行任何程式，硬盘也会无故狂转；用NetInspect v1.0(网路监视)对机器从0到9999端口进行扫描，会找出Free Proxy!端口，一般经验不足的骇客不会修改其缺省值8080。如果你的机器不是网关或代理，那你的端口已经被骇客盗用。
危害：蒙受经济损失，隐藏了骇客。
对策：启动REGEDIT.EXE，搜寻关键字“ProxyThief”，将所有与之相关的键和键值删除。

九、寄生虫ExeBind
平台：Windows 3.x/Windows 95/Windows 98/Windows NT/Windows 2000
原理：该小程式将指定的骇客程式捆绑到任何一个广为传播的热门软体上，使宿主程式执行时，寄生程式（骇客程式）也在后台被执行。而且支援多重捆绑。实际上是通过多次分割文件，多次从父进程中调用子进程来实现的。
现象：几乎无。
危害：NetSpy、HDFILL、BO 2000常通过这种形式在Internet上寄生传播。
对策：用HackerScan v0.69进行扫描，查出被捆程式，并删除。

十、端口猎手PortHunter
平台：Windows 95/Windows 98
原理：该软体占用大量的Socks进行端口搜索，降低局域网传输的效率，危害网路安全。利用系统管理人员的疏忽，盗用SMTP端口发E－mail(:119)、盗用没有密码的代理端口(:8080)、盗用内部使用的FTP端口(:25)。
现象：局域网变慢，浏览器上不了网，BBS掉线。
危害：自己机器的端口被骇客盗用，甚至在一些个人主页上的“免费代理”栏目中出现。这会使一大帮“网虫”一起来用你的端口上Internet、发匿名E－mail、在FTP上“灌水”、使用“邮箱炸弹”、打网上传呼。到那时，你不仅上不了网，连游戏都玩不了。
对策：对于Novell网为框架的局域网，我们可以限制指定程式的运行，如：ProxyHunter、Xhunter、SocksHunter、PortScanner、PortHunter。对于其他框架的局域网的用户，也可以在伺服器中设定禁止一些骇客程式的运行。但这只是骗骗小孩的把戏，因为只要将ProxyHunter.EXE更名为123abc.EXE就又可以照“黑”不误了。