当前位置:Linux教程 - Email - 小心Email中的BO黑洞

小心Email中的BO黑洞



         作者:刘建国 

      我们用E-mail进行通信时,有时也会收到一些莫名其妙的信件,在接收这种信件时,千万要特别小心!这类信件往往是不怀好意的,而且经常夹带一些具有恶意的附件程序。这绝不是危言耸听!前不久,我的一位朋友就收到一个恶意的黑客程序……

      当时,出于好奇,他把这个程序执行了,结果他上网时,计算机时常被人控制着,文件被删除,目录被创建,机器重启动,几乎怪事不断。后来他才知道是中了攻击者的黑客程序——Back Orifice服务程序Boserve.exe。

      BO是什么

      Back Orifice(简称BO)是一个基于Windows的远端控制软件。据我所知,像Boserve.exe这样的程序还有Netspy(网络间谍)、Xspy等等。它们的工作原理都是一样的。首先把服务(Server)程序给欲攻击方,并且执行它。攻击者自己就运行客户(Client)程序来控制欲攻击方。当用户运行了Boserve.exe之后,Win95的注册表会被BO修改,并把自己复制到System目录下面,再把原来的Boserve.exe文件删除掉。以后每次启动Win95时,它都会根据注册表自动加载System目录下面的Boserve.exe服务程序。此时表面上来看Win95没有任何的变化,实际上Boserve.exe服务程序正在悄悄地运行,接受从网络客户端传来的控制命令。

      BO软件是黑客组织Cut of the Dead Cow开发的。此软件包总共8个文件,如表一所示。其中Boclient总共有11组命令。这些操作包括搜索服务端IP地址,进入欲攻击方计算机,DIR、CD、RD、MD操作,拷贝、删除文件、从客户端发送文件到服务端和从服务端得到所需要的文件,还有显示被控制计算机的系统信息,包括CPU的类型、内存数量、各个驱动器的资料及重启计算机等。

      怎样堵住黑洞

      方法一

      上网时应当格外小心!平时注意查看一下机器里是否有可疑的文件Boserve.exe(122kb)、Netspy(127kb)、Xspy(118kb)。如果你的计算机中了Back Orifice后门程序,可以先到Windows注册表中HKEY_LOCAL_MACHINE\\SOFTWARE\\ Microsoft\\Windows\\CurrentVersion\\下的RunService和Run主键里把黑客程序删除,重新启动机器,到Windows的System目录下把黑客程序删除即可。

      方法二

      可以利用江民公司KV300+(X++)原盘启动机器,执行KV300,即可查出或删掉潜藏在系统中的网络黑客程序BO。用户也可用KV300自我升级的方式扩充以下代码,即可查出机器中的BO黑客程序。

      8B C8 85 C9 75 07 B8 69 7A 00 00 EB 66 %% 85 C9 7E 0E

      Found Hacker program Back Orifce v1.2! Please DELETE !!!

      F2 AE F7 D1 49 74 13 8D 84 24 %% 50 68 %% 53 FF D6 %% 75 B7 68

      Found Hacker program Back Orifice v1.2! Please DELETE !!!
    发布人:netbull 来自:赛迪网