3.7.3 典型病毒介绍：特洛伊木马——NetBus

3.7.3  典型病毒介绍

1．特洛伊木马——NetBus

NetBus是一个和著名网络攻击程序Back Orifice类似的网络特洛伊木马程序。它会在被驻留的系统中开一个“后门”，使所有连接到Internet上的人都能神不知鬼不觉地访问到被驻留机器，然后控制者可以恶作剧地随意控制你的鼠标，在你机器上播放声音文件，或者打开你的光驱等，更危险的当然是删除你的文件，让你的机器彻底崩溃。

NetBus由两部分组成：客户端程序（netbus.exe）和服务器端程序（通常文件名为：patch.exe）。要想“控制”远程机器，必须先将服务器端程序安装到远程机器上（如：通过远程机器的主人无意中运行了带有NetBus的所谓特洛伊木马程序）。

特别是NetBus 1.70，它在以前的版本上增加了许多“新功能”，从而使它更具危险性，如NetBus 1.60只能使用固定的服务器端TCP/UDP端口：12345，而在1.70版本中则允许任意改变端口号，从而减少了被发现的可能性；重定向功能（Redirection）更使攻击者可以通过被控制机控制其网络中的第三台机器，从而伪装成内部客户机。这样，即使路由器拒绝外部地址，只允许内部地址相互通信，攻击者也依然可以占领其中一台客户机并对网中其他机器进行控制。

通常，NetBus服务器端程序是放在Windows的系统目录中，它会在Windows启动时自动启动。该程序的文件名是patch.exe，如果该程序通过一个名为whackamole.exe的游戏安装潜伏的话，文件名应为explore.exe或game.exe。可以检查Windows系统注册表，NetBus会在下面路径中加入其自身的启动项： "\HKEY_LOCAL_MACHINESOFTWARE\Microsoft\Windows\CurrentVersion\Run" NetBus通过该注册项实现Windows启动时的自动启动。但如果你按Ctrl+Alt+Del组合键，在任务列表中是看不到它的存在的。正确的去除方法为：

运行regedit.exe；
找到\HKEY_LOCAL_MACHINESOFTWARE\Microsoft\Windows\CurrentVersion\Run
将patch项或explore项删除；
重新启动机器后删除Windows系统目录下的patch.exe或explore.exe。  

有些木马程序在种木马的同时，感染系统文件，所以即使用以上方法去除了木马，系统文件被运行后，会重新种植木马。即使是防病毒软件，也不一定能彻底清除。