Este cavalo de tróia é parecido com o Back Orifice , mas o NetBus é sem dúvida alguma o melhor de todos os Trojans da Internet . Por ser muito fácil de ser utilizado e também por que dá acesso quase que total a máquina anfitriã , coisa que o Back Orifice não faz , é o trojan mais utilizado da net .
Ele é uma ferramenta usada como um sistema de administração remota sobre os sistemas operacionais Windows 95/98 e o Windows NT . Também é composto de dois programas que agem , um como Servidor e o outro como Cliente , assim como o Back Orifice , permitindo conexão a distância .
O que o Netbus pode fazer .
1. Abrir e fechar a gaveta de CD-ROM
2. Exibir uma imagem que exista no HD da "vítima"
3. Trocar os botões esquerdo/direito do mouse
4. Mandar mensagens
5. Exibir para o client a tela do server
6. Desligar e rebootar o micro
7. Dar logoff e sair do Windows
8. Mostrar/Fechar/Exibir as janelas ativas do client
9. Controlar o mouse do client
10. Desativar teclas do teclado
11. Executar programas que existam no HD do client
12. Mandar o client à alguma URL
13. Ver tudo o quê o client digita e poder digitar no computador dele
14. Ver todos os diretórios do HD do client, e inclusive fazer downloads e uploads
15. Tocar som .WAV que exista no HD do client
16. Se o client tiver microfone instalado no computador, o server pode gravar os sons que o microfone capte
Ou seja , o Servidor pode fazer qualquer coisa no seu PC , podendo prejudicar sua máquina .
Desconfie se seu computador caso tenha algum desses sintomas e veja abaixo como verificar se você está infectado.
Como saber se você está infectado .
O Server do Netbus, quando você executa ele, ele se move para o diretório c:\Windows\ .
Não adianta dar Ctrl + Alt + Del para finalizar o "Client"do NetBus , pois ele não aparece na sua taklist e ele se inicializa toda vez que vc entra no Windows . Vc deve ta pensando : "AH, é só eu ir no diretório do Windows e deletá-lo !". Mais ou menos... pelo Windows você nunca vai conseguir deletar o server pois ele é protegido, mas se você sair do Windows e tentar pelo DOS pode ser que funcione... mas mesmo assim ele não remove os registros.
O Server da versão 1.6 ou inferior do Netbus trabalha nas portas 12345 e 12346. Vc pode verificar se tais portas estão sendo utilizadas se você usar o NETSTAT. Esse programa já vem junto com o Windows. Faça o seguinte:
Abra o Prompt do MS-DOS e digite:
netstat -an | find "1234"[enter]
Se a porta estiver em uso vai aparecer isso aqui:
TCP 127.0.0.1:12345 0.0.0.0:0 LISTENING
Se isso aparecer, calma! Pode ser que não seja o Netbus que esteja utilizando essa porta, mas é muito provável que seja. Muito mesmo.
Verficar se é ou não o Netbus e como tirá-lo .
Digite o seguinte na prompt do DOS :
telnet 127.0.0.1 12345 [enter]
Se o Netbus estiver instalado, na janela do telnet abrirá a mensagem:
'Netbus 1.53' ou ainda 'Netbus 1.60'
O Netbus Pro 2.0 trabalha em outra porta, a 20034, portanto, para verificar se vc está ou não infectado com ele, dê os mesmos comandos para o Netbus 1.6, mas troque todos os números 1234 e 12345 para 20034 e pronto.
Outro jeito de verificar se você está infectado é verificando, com o REGEDIT (Vá no menu Iniciar/Executar e digite REGEDIT .
Abra a pasta :
\HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \Run
Todos os valores a direita são os programas que são auto-inicializados quando você entra no Windows.
Quando vc estiver no "\Run", verifique se no lado direito da tela tem o nome de algum programa que você tenha executado , que logo depois sumiu sem fazer nada. Se você achar, delete o valor. Aí você estará a salvo.
Mas o jeito mais fácil de você verificar se você tem o Netbus instalado no seu micro, é fazendo o download do client do Netbus e tentar se conectar consigo mesmo. você pode se conectar consigo mesmo off-line. O IP da sua máquina quando você off-line é 127.0.0.1.
Se o client disser "couldn't connect" você está limpo, mas se ele disser "connected to 127.0.0.1 (v.1.60)" ou (v.1.7) ou (v1.53), você está infectado. E para remover o server é só clicar em "Server admin" e depois em "Remove Server" e confirme. Pronto, você tá limpo...esse também é o jeito mais fácil e seguro de remover o server.
Outro jeito de você retirar o server é você digitar, no Prompt do MS - DOS , o nome do server seguido de "/remove" . Assim, por exemplo:
patch /remove
E ele remove. Pronto!
Um bom jeito de se prevenir contra o Netbus é usando o Netbuster, , é um programa que simula o server do Netbus, assim, mesmo infectado, quando alguém tentar se conectar ela até vai conseguir, mas todas as opções estarão desativadas e você poderá ver o quê essa pessoa faz . Você pode copiar o programa na seção Downloads .
Características do Server :
Como identificar o Server do Netbus 1.6:
Essas são as características básicas do server:
Por default, ele se chama Patch.exe, mas pode ser renomeado facilmente.
O server tem +ou- 461KB (472.576 bytes).
Como identificar o Server do Netbus 1.7
Por default, ele também se chama patch.exe, mas pode ser renomeado facilmente.
O server tem +ou- 483KB (494.592 bytes).
Como identificar o Server do Netbus Pro 2.0:
Agora está muito mais difícil identificar o server do Netbus, porque agora é incrivelmente simples mudar opções, portas, senha do server... portanto, não se pode estabelecer um tamanho padrão para o server, e como o ícone e nome são mutáveis, você fica dependendo da incompetência dos lammers. Se alguém for mais caprichoso, você dança...
Tamanho: +ou- 600kb
Nome original: NBSrv.exe (pouco provável que esteja com esse nome)