'; echo 'Hillstone Networks'; } elseif ($_SERVER[HTTP_HOST] == "www.huaantech.com.cn") { echo ''; echo 'huaantech'; } elseif ($_SERVER[HTTP_HOST] == "www.dcnetworks.com.cn") { echo ''; echo 'dcnetworks'; } elseif ($_SERVER[HTTP_HOST] == "www.w-ibeda.com") { if (false===strpos($_SERVER[REQUEST_URI],"/en/")) echo ''; else echo ''; echo 'w-ibeda'; } elseif ($_SERVER[HTTP_HOST] == "www.hp-telecom.com") { echo ''; echo 'hp-telecom'; } else{ echo ''; echo 'Hillstone Networks'; } ?>
 
   
 

TCP协议攻击(攻击ID:700645)

发布日期:2009-09-27

攻击名称:Netbus信息收集

操作系统:Window

应用服务:Others

严重级别

BUG ID

CVE ID

 

错误描述

Netbus是木马程序。
此木马程序更改系统注册表配置,向启动时运行的程序添加Netbus服务器。由于这种木马的属性,攻击者的客户端IP地址是不大可能伪造的。
服务器端口因netbus的不同版本,可能有以下几种:12345, 12346, 20034。

影响:
可能窃取数据和控制目标机。此木马也能扫描机器和网络以获得开放的端口,也能重定向合法的流量到其它目的地。它能让入侵主机变为开放的代理服务器。

受影响的系统:
Windows 95
Windows 98
Windows ME
Windows NT
Windows 2000
Windows XP

参考
Hackfix.org
http://www.hackfix.org/netbusfix/index.shtml


Dark-e Trojan Archive
http://www.dark-e.com/archive/trojans/netbus/index.html
http://www.whitehats.com/info/IDS403

 

解决方案

手动清除此木马只能由有经验的Windows系统管理员来完成。
编辑系统注册表以删除多余的按键或还原以前完好的注册表副本。
受影响的注册表键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
添加的注册表键包括:
Netbus Server Pro
PATCH 'C:\windows\patch.exe /nomsg' -注:此入口可能不必称为PATCH NetBuster = ''
SysCopy = 'command /c copy %windir%\\keyhook.dl_ %windir%\\*.dll /Y'
Rundll32 = 'rundll.dl_ /noadd'
Rundll = 'regedit /s nbsetup2.reg'

后来的版本可能也添加了这些注册表键值:
HKEY_LOCAL_MACHINE/SOFTWARE/UltraAccess Networks/NetBus Server/
HKEY_CURRENT_USER/NetBus Server/
应该删除这些项。
如果存在文件rundll.dl_(注意下划线,这很重要) 和nbsetup2.reg,则应该删除。
需要结束进程,建设重启受影响的机器。