NetBus由两部分组成:
客户端程序(netbus.exe)和
服务器端程序(通常文件名为:patch.exe)。要想“控制”远程机器,必须先将
服务器端程序安装到远程机器上--这一般是通过远程机器的主人无意中运行了带有NetBus的所谓特洛伊木马程序后完成的。这是特洛伊木马程序的由来,也是此类程序发挥作用的关键!因此,不要贸然运行网上下来的程序!这永远是金玉良言!
特别是NetBus 1.70,它在以前的版本上增加了许多“新功能”,从而使它更具危险性!比如: NetBus 1.60只能使用固定的
服务器端TCP/UDP端口:12345,而在1.70版本中则允许任意改变
端口号,从而减少了被发现的可能性;重定向功能(Redirection)更使攻击者可以通过被控制机控制其网络中的第三台机器,从而伪装成内部客户机。这样,即使
路由器拒绝外部地址,只允许内部地址相互通信,攻击者也依然可以占领其中一台客户机并对网中其它机器进行控制。
发现并清除NetBus的方法
不过,NetBus尽管厉害,发现并去除它却并不困难。
通常,NetBus
服务器端程序是放在Windows的系统目录中的,它会在Windows启动时自动启动。该程序的文件名是patch.exe,如果该程序通过一个名为whackamole.exe的游戏安装潜伏的话,文件名应为explore.exe(注意:不是explorer.exe!)或者简单地叫game.exe。
同时,你可以检查Windows
系统注册表,NetBus会在下面路径中加入其自身的启动项: "\\HKEY_LOCAL_MACHINESOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" NetBus通过该注册项实现Windows启动时的自动启动。但如果你按Ctrl+Alt+Del,在任务列表中是看不到它的存在的。