NetBus不是病毒,但被认为是
特洛伊木马。它十分广泛,常被用来偷窃数据和删除文件。Netbus允许黑客读取数据和在
远程控制一些视窗功能。Netbus工具有客户和
服务器部分。
服务器部分安装在远端用于存储的系统中。Netbus1.60版的
服务器是视窗PE文件,叫PATCH.EXE。在执行过程中,
服务器把自己安装在Windows目录,并在视窗下次启动时自动运行。
NetBus是一个在网络上出现的、和著名
网络攻击程序Back Orifice类似的网络
特洛伊木马程序。它会在被驻留的系统中开一个“后门”,使所有连接到
Internet上的人都能神不知鬼不觉地访问到被驻留机器(如果他有NetBus控制端的话)--然后控制者可以恶作剧地随意控制你的鼠标,在你机器上播放声音文件,或者打开你的光驱等,更危险的当然是删除你的文件,让你的机器彻底崩溃--如果他想那样做的话。
NetBus比Back Orifice更方便使用也更强大(当然也更危险)--至少它也同样能控制NT(Back Orifice不能),这恐怕是以为NT非常安全的人的恶梦了。NetBus的最初版本发布于1998年3月,近来使用较多的是NetBus 1.60和NetBus 1.70。
NetBus由两部分组成:
客户端程序(netbus.exe)和
服务器端程序(通常文件名为:patch.exe)。要想“控制”远程机器,必须先将
服务器端程序安装到远程机器上--这一般是通过远程机器的主人无意中运行了带有NetBus的所谓
特洛伊木马程序后完成的。这是
特洛伊木马程序的由来,也是此类程序发挥作用的关键。因此,不要贸然运行网上下来的程序,这永远是金玉良言。
特别是NetBus 1.70,它在以前的版本上增加了许多“新功能”,从而使它更具危险性。比如: NetBus 1.60只能使用固定的
服务器端TCP/
IP端口:12345,而在1.70版本中则允许任意改变端口号,从而减少了被发现的可能性;重定向功能(Redirection)更使攻击者可以通过被控制机控制其网络中的第三台机器,从而伪装成内部客户机。这样,即使
路由器拒绝外部地址,只允许内部地址相互通信,攻击者也依然可以占领其中一台客户机并对网中其它机器进行控制。