上次我们已经认识了臭名昭著的黑客程序Back Orifice2000,这次提醒大家注意的是一个叫Sub7的超级后门程序,我为了仔细分析它,已经把它的最新版v2.0给下载回来了。真是不看不知道,一看吓一跳,一解开那个ZIP我就发现它的功能实在太强了,连我这个自诩为“专门和魔鬼打交道的人”也不能不小心一不留神就可能被它暗算了。它的ZIP包里有3个文件:EditServer.EXE、Sub7.EXE、Server.EXE,而在它的主页上还有最新的Server2.EXE,加了改变EXE文件图标以便更好地进行隐藏的功能。俗话说知己知彼,百战不殆,为了使大家都能免遭Sub7的暗算,下面我就把它的功能和危害介绍一下:
它的基本原理和BO2000一样,都是服务程序伪装后偷偷进驻对方计算机,然后黑客通过客户端程序远程侵入对方系统进行破坏。其客户端软件EditServer.EXE可以对服务程序Server.EXE进行以下控制:
1.修改Server端安装后使用的端口;
2.修改连上Server端时用的密码;
3.指定服务程序和哪个EXE文件结合在一起;
4.指定服务程序安装后的文件名,其默认值为Rundll16.EXE;
5.指定将其自身加入Windows注册表时的键名;
6.决定服务程序使用哪种安装方式,包括:
A.加入注册表的Run\位置
B.加入注册表的RunServices\位置
C.加入 WIN.INI
D.让程序自动加SYSTEM.INI
7.决定服务程序安装时出现的假错误信息,可以选择5种不同的窗口或不出现假错误信息;
8.指定客户端的别名(方便自己好记);
9.可以选择是否需要通过以下哪种方式在线自动通知: ICQ通知、E-mail或IRC聊天室;
如果不小心中招,那么黑客就可以在你的系统中拥有以下权限:
监视你的键盘输入并和你聊天、将你的屏幕截图、让你的屏幕左右、上下翻转或更改你的墙纸设置、将你的机器设为FTP服务器并上载、下载及查找文件、得到你放在*.PWL文件中的上网密码(即使是40位加密也不管用)、异地修改你的注册表。
除此以外,还有其他一些“有趣”的功能:打开浏览器去某个URL、重新启动Windows、交换鼠标左右按键功能、隐藏光标、移动光标、激活和设置光标的拖尾、设置音量大小、设置录音时间、改变和恢复窗口的颜色、挂断Modem、改变系统时钟、改变屏幕分辨率、隐藏或显示桌面、开始、状态栏、打开或关闭光驱和音箱、打开或关闭显示器、允许或禁用“Ctl+Alt+Del”等等。
怎么样,可怕吧?不过对于Sub7也不是没有预防办法,下面就是:
第一、检查自己是否已经中招
1.在DOS下输入“dir rundll16.exe/s”检查是否存在“rundll16.exe”这个文件。
2.运行注册表编辑器Regedit.EXE看看Run与RunService键下有没有可疑键值。
3.使用Edit.EXE看看WIN.INI中的“Load=”后有没有加上某个可执行文件名,以及 SYSTEM.INI的Shell=Explore.EXE后有没有跟某个文件,例如“Shell=Explore.EXE MTMTASK.DL……”等。
4.离线状态下在DOS下输入“netstat -a”看有没有某个端口开着,希望你那里没有吧!
如果你的系统具有以上四种可疑情况中任何一种的话,那么就表明你已经中招了,赶快按照下面的办法去做吧!
第二、化险为夷
在纯DOS下,将可疑的服务程序删除掉。例如删掉Rundll16.EXE或Mtmtask.DL,INI文件及注册表里的“尸体”则可以慢慢清除。
对这种后门程序,总是防胜于治,还是赶快装上Network Associates的McAfee VirusScan 4.03版的实时防火墙,再配上最新病毒数据库DAT-4049吧,那样当有Sub7或其他后门程序想暗算你时你,它就会自动报警了!(Sub7被它命名为BackDoor-G)
相关文章:
【相关论坛】 【发表评论】
