NETBUS

介绍

NetBus的攻击原理

应对方法

NETBUS

NetBus不是病毒，但被认为是特洛伊木马。它十分广泛，常被用来偷窃数据和删除文件。Netbus允许黑客读取数据和在远程控制一些视窗功能。Netbus工具有客户和服务器部分。服务器部分安装在远端用于存储的系统中。Netbus1.60版的服务器是视窗PE文件，叫PATCH.EXE。在执行过程中，服务器把自己安装在Windows目录，并在视窗下次启动时自动运行。

介绍

NetBus是一个在网络上出现的、和著名网络攻击程序Back Orifice类似的网络特洛伊木马程序。它会在被驻留的系统中开一个“后门”，使所有连接到Internet上的人都能神不知鬼不觉地访问到被驻留机器（如果他有NetBus控制端的话）－－然后控制者可以恶作剧地随意控制你的鼠标，在你机器上播放声音文件，或者打开你的光驱等，更危险的当然是删除你的文件，让你的机器彻底崩溃－－如果他想那样做的话。

NetBus比Back Orifice更方便使用也更强大（当然也更危险）－－至少它也同样能控制NT（Back Orifice不能），这恐怕是以为NT非常安全的人的恶梦了！NetBus的最初版本发布于1998年3月，近来使用较多的是NetBus 1.60和NetBus 1.70。

NetBus的攻击原理

NetBus由两部分组成：客户端程序（netbus.exe）和服务器端程序（通常文件名为：patch.exe）。要想“控制”远程机器，必须先将服务器端程序安装到远程机器上－－这一般是通过远程机器的主人无意中运行了带有NetBus的所谓特洛伊木马程序后完成的。这是特洛伊木马程序的由来，也是此类程序发挥作用的关键！因此，不要贸然运行网上下来的程序！这永远是金玉良言！

特别是NetBus 1.70，它在以前的版本上增加了许多“新功能”，从而使它更具危险性！比如： NetBus 1.60只能使用固定的服务器端TCP/UDP端口：12345，而在1.70版本中则允许任意改变端口号，从而减少了被发现的可能性；重定向功能（Redirection）更使攻击者可以通过被控制机控制其网络中的第三台机器，从而伪装成内部客户机。这样，即使路由器拒绝外部地址，只允许内部地址相互通信，攻击者也依然可以占领其中一台客户机并对网中其它机器进行控制。

发现并清除NetBus的方法

不过，NetBus尽管厉害，发现并去除它却并不困难。

通常，NetBus服务器端程序是放在Windows的系统目录中的，它会在Windows启动时自动启动。该程序的文件名是patch.exe，如果该程序通过一个名为whackamole.exe的游戏安装潜伏的话，文件名应为explore.exe（注意：不是explorer.exe！）或者简单地叫game.exe。

同时，你可以检查Windows系统注册表，NetBus会在下面路径中加入其自身的启动项： "\\\\HKEY_LOCAL_MACHINESOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run" NetBus通过该注册项实现Windows启动时的自动启动。但如果你按Ctrl+Alt+Del，在任务列表中是看不到它的存在的。

应对方法

正确的去除方法如下：

1、运行regedit.exe；

2、找到"\\\\HKEY_LOCAL_MACHINESOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run"；

3、将patch项删除（或者explore项）；

4、重新启动机器后删除Windows系统目录下的patch.exe（或者explore.exe）即可。

有些木马程序在种木马的同时，感染系统文件，所以即使用以上方法去处了木马，系统文件被运行后，会重新种植木马。即使是防病毒软件，也不一定能彻底清除。