一种新的后门程序

Author: 宋为 Date: 1999年 第43期 28版


  BO(Back Orifice)出世以来,一直我都以为后门程序是在system.ini或注册表中加载的。一次一个朋友说他的机器每次启动后都自动调出拨号网络,看我一向自命水平笑傲一方,特要我帮忙。我怀疑是有黑客程序在其中,结果用各种杀毒软件都没有找到,在注册表中也没有找到黑客程序的踪迹。奇怪!如果把设备Modem删除就没事了。怎么搞的,我遇到麻烦了,高手的地位受到冲击了,绝对不行!
  恰好第二天到网上论坛中,见到有人留言说有一程序执行后他的机器也是这样,怀疑在这个程序中捆绑有黑客程序,但不知解法。我急忙发Mail向他要来这个程序,先用杀毒软件查一次,什么反应也没有,再运行这个程序,原来是一个桌面动画。重新启动计算机后,开始了噩运的征程:
  找system.ini文件,什么异常也没有,再找注册表,也没有异常。按下Ctrl+Alt+Del,关闭程序栏中也没有异常,这就有点麻烦了。到底那个黑客程序在哪儿呢?最后祭起终极法宝:DllShow,我就不信它能逃得出DllShow的慧眼。果然,DllShow宝镜一照,就照到了一个可疑的程序odbc16m.exe静静的躲在内存中,这个文件的位置更在Windows\system这个特级防火重地中,确实可疑。以前没有见到这个程序的啊!估计找到祸源了。
  把这个可疑的odbc16m.exe删除,在DOS下检查确实删除了,结果重启后又有了,如果是Windows系统的文件,是不可能出现这种情况的啊!看来这个odbc16m.exe确有蹊跷。经过跟踪分析,最后终于确认,就是这个odbc16m.exe文件,在启动后会自动调出拨号网络,而且这个文件还会感染其他exe可执行文件(病毒?)。如果启动时没有odbc16m.exe,只需要执行被感染的文件,一个新的odbc16m.exe文件又生成了,系统就这样始终处于不安全状态。把被感染的文件找出来,在安全模式下,再用系统文件检查器一一恢复,一番较量后,终于彻底把这个黑客程序在我的机器里杀除了。
  经过这一次的经历,我想告诉大家,并不是所有的黑客程序都会修改注册表,这种与病毒结合的黑客程序,更是让人防不胜防,而这一种黑客程序的发展动向,也值得我们大家关注。