黑客出招，Windows后门洞开

方兴东

题记：这篇文章令作者十分矛盾。因为，文中的黑客程序 BO戴着两付截然不同的面孔：一付是恶意者狰狞的微笑，一付 是受害者茫然的无知。让BO声名远扬，会就被更多具有不良心 理的人利用。而不作披露，无数的用户又将置于危险之地，在 不知不觉中成为BO的牺牲品。BO出台已半年，国内也有零星报 道，但绝大多数人仍不知情。而被感染的机器与日俱增。作者 在合法环境下观看了BO攻击的全部过程，不寒而栗。而且，发 现不少著名的ISP和大单位的机器都已染上黑客程序。因此权 衡再三，写成此文。望广大用户警惕。

1 黑客向主流挺进
98年7月31日至8月2日，赌城拉斯韦加斯，再次成为全球 IT关注的焦点。一年一度的黑客大会在此隆重举行。93年，参 加首届大会的只有75人。98年，第六届大会人数已猛增至2000 多。其中大约25%是记者，25%是猎头，15%是老一辈的黑客， 10%为联邦特工……。当然也有人横跨几大门类，但大家的身 份都含而不露。大伙济济一堂，共度这网络、病毒、赌博、美 酒加咖啡紧张的三天三夜。除了每天有十多个正式发言外，更 多的交流是在旅馆或酒吧中进行。许多世界各地的黑客明星云 集而来，他们大多遵循黑客伦理，为技术而技术，从不进行恶 意的破坏。对那些长满青春痘、老是捣乱惹事的年轻黑客，他 们常常会眉毛一挑，十分鄙夷地说：“难道他们的父母一辈子 都没让他们出过门吗？” 但今天的黑客与10年前的黑客已全然不同，作为噪音的不 良黑客已经彻底改变了黑客阵营的性质。尤其是互联网的迅猛 发展，黑客仰首步入主流社会，成为极为微妙和复杂的社会现 象，威胁到全社会的安全。虽然这个名为“DEF CON”的黑客 盛会“热诚欢迎所有的黑客、飞客、电脑朋客、技术迷、程序 员、作家、社会活动家、律师、哲学家、政治家、安全专家及 所有网络管理员和用户参加”，但它综合了主流文化、非主流 文化甚至地下文化，极具复杂性和争议性。 会议的高峰出现在8月1日下午，一个名为“死牛祭礼” （CDC）的黑客组织发表并演示了Back Orifice（简称BO）和 DirectXPloit等黑客工具，引起与会者极大的震动。尤其是 BO，成为本届大会最走红的明星产品。有人评价说“IBM使大 型机走进了公司，苹果使PC和图形界面走向大众，而CDC的BO 将使黑客活动走向每一个家庭。”

2视窗后洞大开
BO不是病毒，而是货真价实的应用程序。CDC美其名曰为 “Windows远程管理工具”。可是，这个工具能以各种隐秘的 方式非法传入他人计算机，运行后，使任何一台运行 Windows95/98且以TCP/IP联网的机器完全洞开（Back Orifle 的意思就是“后孔、后洞”），允许恶意的用户长驱直入，任 意攻击。也就是说：“有了BO，任何一个12岁以上的计算机用 户都可以成为极其优秀的黑客。”BO就象其作者Sir Dystic个 人主页中恐怖的头骨图案一样，会令每一位了解BO的 Windows95/98用户不寒而栗。 BO本质上属于客户机/服务器应用程序。它通过一个极其 简单的图形用户界面和控制面板，可以对感染了BO（即运行了 BO服务器）的机器操作Windows本身具备的所有功能。这个仅 有123K的程序，水平一流，令那些复杂而庞大的商用远程管理 软件相形见绌。而真正可怕的是：BO没有利用系统和软件的任 何漏洞或Bug，也没有利用任何微软未公开的内部API，而完全 是利用Windows系统的基本设计缺陷。甚至连普通的局域网防 火墙和代理服务器也难以有效抵挡。 BO服务器可通过网上下载、电子邮件、盗版光盘、人为 投放等途径传播，并且可极其隐藏地粘贴在其他应用程序。一 旦激活，就可以自动安装，创建Windll.dll，然后删除自安装 程序，埋名隐姓，潜伏在机器中。外人就可通过BO客户机程 序，方便地搜索到世界上任何一台被BO感染并上网的计算机IP 地址。通过IP地址就可对其轻易实现网络和系统控制功能。可 获取包括网址口令、拨号上网口令、用户口令、磁盘、CPU、 软件版本等详细的系统信息；可删除、复制、检查、查看文 件；可运行机内任何一个程序；可捕捉屏幕信息；可上传各种 文件；可以查阅、创建、删除和修改系统注册表；甚至可以使 计算机重新启动或锁死机器。而所有这些功能的实现，只需在 菜单中作一选择，轻摁一键，就可轻松完成。 BO的出现，使无所不在的微软Windows忽地出现一个巨大 的“后洞”，使Windows用户至于极其危险的境地。据《连 线》报道，澳大利亚79%的ISP都已染上BO，而国内虽没详细统 计和报道，但也已十分普遍。

3 最大的威胁是微软
CDC是最早的黑客组织之一，自1984年以来发表过数百篇 反主流文化的文章，拥有数十名活跃分子。BO的破坏性显而易 见，但它公开发布，又表明了它的善意。BO作者Sir Dystic是 CDC的骨干。以前自称是微软的最大敌人，而今改称是比尔· 盖茨的头号崇拜者。他对记者说：“隐私将是互联网最大的问 题，如今人们完全是想当然。BO的目的是要向大家指出：实际 上，隐私并没有我们想象的那样便宜。”他称公开BO的意图是 要微软进一步加强Windows95/98的安全性。显然，CDC是在向 微软发表战书，BO的主要目标就是想动摇人们对微软产品的信 任。 在这个爆炸性的事情面前，微软的傲慢自大再一次表现得 淋漓尽致。对微软轻描淡写的反应，连CDC也给予了痛斥。过 去，CDC曾多次向微软报告Windows的漏洞，但每一次微软都很 冷漠。在BO发布前一个多月，CDC就事先向新闻界发布消息。 在BO正式演示前一周，媒体报道已十分热烈。但一直在静待微 软反应的CDC始终没有得到微软的消息。在黑客大会期间，CDC 和BO被媒体和爱好者们蜂涌包围，但里面却没有一个微软的 人。8月3日，BO在网站上正式发表，4天内就至少有35000人次 下载。8月4日，微软安全产品经理Scott Culp才发来一个私人 的E-mail，表示想了解一些情况。Sir马上给微软回电话，向 他们讲述了自己所掌握的微软软件的弱点。当然“最大的弱点 就是Windows 95/98自身。”对此，Culp马上表示赞同。 BO表明了微软Windows设计存在基本缺陷。比如Windows 95/98总把口令等重要信息以文本形式直接缓存在内存中，BO 就可利用这一点，方便地获取各种系统信息。BO的危险性其实 就是微软产品的不安全性，BO能做的一切正是Windows 95/98 所做的。微软最不负责的就是：对此事轻描淡写，只在公司市 场部的网址上发了一个用户公告。CDC很疑惑：“除了CDC外， 不知道还有什么人知道这个地址？”而且公告内容明显回避问 题的本质，甚至误导用户。于是CDC马上针对微软的声明，逐 条作了反驳。

4巨头脑袋里的后洞
微软的声明称：BO并没有暴露或利用Windows平台或 Windows产品的任何安全问题。BO并不危及Windows网络的安 全。…… BO要想成功发动攻击，必须完成一系列特定的程 序：1、用户必须在有意或被骗情况下安装该程序；2、攻击者 必须知道用户的IP地址；3、攻击者必须能直接与用户连接， 比如双方之间必须没有防火墙。因此为保障安全，微软建议 Windows95/98的用户：1、计算机不与外界联网；2、计算机通 过能够动态分配IP地址的ISP联网；3、网络设置防火墙或代理 服务器……微软闪烁其词的本事和不负责任的行为再一次登峰 造极。 CDC特地反驳如下：首先无论是用户有意或无意，BO都能 伪装或依附在其他软件中，通过各种途径随时传播；其次，BO 能够自动搜索被感染PC的IP地址；而且一般的动态IP地址分配 也能被BO扫描追踪。再者，只要防火墙允许任何用户数据协议 （UDP）信息包通过，BO就能穿透防火墙。而没有漏洞的良好 的防火墙并不多。一个局域网中只要有一台机器被BO感染，就 可攻击整个网络。 当然，机器不联网，BO就不会有任何作为。而且目前BO 还无法攻击Windows NT。但CDC表示，他们针对NT的BO版本正 在开发之中，已进入倒记时。CDC希望微软不要再回避问题， 应尽快拿出解决方案。但这一次，由于涉及到Windows95/98的 基本设计思想，决不是打一个补丁所能应付的。微软很难找到 很好的解决方案。 分析家指出：“微软说，BO本身并不是一个威胁。实际上 微软迟迟不向公众作出坦率诚恳的说明，无法尽快解决问题才 是真正的最大威胁。” 5用户是牺牲品？ BO不是真正的病毒，而是特洛伊木马程序。虽然很隐秘， 但还是有蛛丝马迹，普通用户就可识别出来。感染BO的计算 机，在Windows的System子目录下有两个文件：WINDLL. DLL以 及.EXE（空格.EXE）。第一个文件容易找到，第二个文件可能 经过重新配置，改变了名字，不易逮住。 设法删除这两个文件，BO也就失效。但为防止程序故障， 最好还要修改注册表。在BO刚刚出现时，国外用户经常重新安 装系统。当然，最好的方式还是使用杀毒软件。目前最新版本 的瑞星、KV300等杀毒软件均可有效清除BO。国外几大杀毒软 件也可以。但市场上有一些杀毒软件可能无法修改注册表以彻 底清除。 BO原本属于操作系统的安全问题，现由杀毒软件来解决也 是迫不得已的下下之策。微软对BO轻描淡写的原因之一，也就 是有杀毒软件的帮助。但是道高一尺，魔高一丈，黑客程序千 变万变，防不胜防。目前发现的黑客程序就有BO、NetSpy、 us、backdoor、manager等几大类近三十种版本。感染特征也 各不相同。但能耐都相同：就是将你的计算机和你的隐私和机 器置于危险境地。因此，只要微软不根本解决这一问题，全球 Windows95/98用户都只能在“前窗后洞”的威胁下工作。 BO于8月份问世，在很长时间内国内毫无防范。后由趋势 最早发现并报告，瑞星杀毒软件最早通过公安部测试，KV300 最早具备实时检测功能。国家也很快以内部形式发文，提醒有 关部门加以防范。但至今广大用户仍不了解真正的危害。 的是，目前国内有些网站已经堂而皇之放上黑客程序，供 人自由下载。而且有的黑客程序已有中文版。 府上网年，网络安全不容忽视。而网络是大势所趋，不容 逆转。随着上网人数急骤增长，公众的网络安全意识也应同时 跟上。无论是个人、企业，还是机构都应该将安全作为头等大 事，别让自己成为Windows和黑客程序的牺牲品，造成不可估 量的损失。 还不能攻击Windows NT。因此有人说，BO的广泛流行，微 软不采取得力措施，有可能迫使人们升级到NT，反而帮微软一 把。这显然是CDC没有料到的。 一天，NT版BO出来，那时人们又该怎么办呢？ ndows的普及，全球的商业、政治、经济、军事和生活等 越来越依赖微软的产品，微软的产品质量和社会责任感也应随 着提升。否则后果无法设想。黑客程序在考验广大用户，更在 考验微软公司。