NetBus, el "otro" Back Orifice

El Back Orifice (BO) no es la única "herramienta" para que alguien puede controlar nuestra computadora en forma remota desde Internet (o cualquier red), sin nuestro conocimiento.

El BO fue una creación del grupo de hackers conocido como el Culto de la Vaca Muerta. Una vez instalado, este "backdoor" (algo así como un acceso por la puerta trasera de nuestro PC) le permite a cualquier usuario sin nuestra autorización, controlar varios aspectos de nuestra computadora.

Pero como dijimos en un artículo anterior, BO deja evidencia de su existencia y puede ser descubierto y quitado.

Sin embargo el BO no está solo. Existe un programa, también disponible en Internet, conocido como NetBus, muy similar al BO, y de algunas maneras bastante más adelantado.

NetBus (NB) es otra "supuesta herramienta" (lo sería si no fuera porque puede operar en nuestras máquinas sin nuestro consentimiento, por lo tanto lo consideramos también un trojan), que puede realizar cosas bastante parecidas al BO.

NB ha estado disponible desde hace mucho más tiempo que el BO, pero su uso extendido como un trojan no había sido considerado una amenaza hasta ahora. Al contrario que el BO (requiere una versión especial para NT), el NetBus corre en Windows 95/98 y NT.

NB, disponible libremente en Internet, permite a un usuario remoto realizar la mayoría de las funciones que hace el BO, pero además puede abrir y cerrar las unidades de CD-ROM, mostrar imágenes BMP/JPG, intercambiar los botones del mouse, ejecutar aplicaciones, generar sonidos cuando se pulsan las teclas, controlar el cursor del mouse remotamente, mostrar diferentes mensajes, bajar (o subir) determinados archivos, ir a una URL (dirección de Internet) determinada, "escuchar" y registrar todas las teclas pulsadas, hacer un volcado completo de la pantalla del usuario, grabar sonido desde el micrófono de la tarjeta, ejecutar archivos WAV, bloquear algunas teclas, remover y/o cerrar el servidor y mucho más.

NetBus utiliza TCP para comunicarse, y siempre usa los puertos 12345 y 12346 para conectarse. Como con el BO, usted puede usar el comando "netstat" desde una ventana DOS de Windows, con el parámetro "-n" (netstat -n) para detectar esto. También puede utilizar la siguiente sintaxis: netstat -an | find "12345". Esto puede detectar si el puerto 12345 está en uso (no olvide las comillas en "12345").

Si lo detecta, ejecute "telnet" desde la línea de comando del DOS, seleccione "Conectar", "Sistema remoto" y escriba en "Nombre de host" : localhost y en puerto : 12345 (o teclee : telnet localhost 12345). Si NB está presente y activo, una cadena como "NetBus 1.53" o "NetBus 1.60 x" aparecerá en la ventana.

El protocolo de NB no está encriptado y sus órdenes tienen un formato sencillo: el nombre del comando y los argumentos, separados por puntos y comas.

Es posible poner una contraseña en el servidor del NB, en ese caso la misma queda guardada en el registro en formato ASCII en la clave: KEY_CURRENT_USER\Patch\Settings\ServerPwd.

Se sabe que existe un "backdoor" en el propio NetBus que permite ingresar a él sin tener una contraseña. Cuando el cliente envía la contraseña al servidor, lo hace con una cadena similar a: "Password;0;my_password"'. Si el cliente usa un 1 en lugar de un 0, se puede usar cualquier contraseña.

Por defecto, el servidor de NB (el archivo que usted debe ejecutar en su máquina) se llama "Patch.exe", pero puede estar renombrado. Los archivos incluidos con la versión 1.60 del NB son: NetBus.exe (567,296), NetBus.rtf (24,113) y Patch.exe (472,576), con fecha 23/08/98.

En la versión anterior (1.53) los archivos son: KeyHook.dll (54,272), NetBus.exe (494,592), NetBus.rtf (16,220) y SysEdit.exe (473,088), con fecha de abril del 98, siendo el servidor el SysEdit.exe y el KeyHook.dll (el .exe puede tener otro nombre).

Nosotros probamos la batería acostumbrada de antivirus para detectarlos. Los únicos antivirus que parecieron reconocerlo son el AVP 3.0 (y su AVPLITE) actualizado al 12 de setiembre, y el Scan de Mcafee 3.2.0 con la base 3108. El AVP lo reconoció como "Trojan.Win32.Netbus" en todos los archivos del paquete (1.53 y 1.60). El Scan reconoció algunos archivos (el servidor, también de ambos paquetes), como "Netbus.160 (HACKTOOL)". Estos antivirus están disponibles en nuestra página (http://www.nativo.com/videosoft).

Hay dos maneras de quitar NB si estuviera activo en nuestro PC, dependiendo de la versión usada:

NetBus 1.5x

Averigüe el nombre del servidor NB (a menudo SysEdit.exe). Vaya a la lista de tareas (CTRL+ALT+SUPRIMIR) y finalice cualquier proceso sospechoso. Después de ello, conéctese al puerto 12345 con telnet (telnet localhost 12345). Si usted no puede conectarse, ha desconectado el servidor del NB.

El servidor del NB suele ejecutarse cada vez que usted reinicia su PC. Por supuesto usted puede borrar simplemente el NB de su duro, pero entonces cada vez que reinicie aparecerá un mensaje de error. Para eliminar esto, debe borrar la siguiente clave de su registro antes de borrar el NB del disco duro: HKEY_LOCAL_MACHINE | SOFTWARE | Microsoft | Windows | CurrentVersion | Run [Nombre del servidor del NB], o si lo prefiere ejecute "nombre_del_servidor /remove" que hará la misma cosa. Finalmente, reinicie su computadora.

El servidor NB de la versión 1.5x también consiste en el archivo KeyHook.dll que encontrará en el mismo directorio y que puede directamente borrar.

NetBus 1.6

Averigüe el nombre del NB (a menudo Patch.exe). Ejecute RegEdit.exe y busque esta entrada:

KEY_LOCAL_MACHINE | SOFTWARE | Microsoft | Windows | CurrentVersion | Run [nombre del servidor] .

Cuando la encuentre elimínela, seleccione "buscar" y escriba el nombre del servidor. Borre las entradas que encuentre. Finalmente ejecute "nombre_del_servidor /remove". Si usted ejecuta el servidor de NB, este debe finalizar rápidamente sin ninguna otra acción del usuario. Eso es correcto.

Si tuviera el cliente (NetBus.exe) en su máquina, puede ejecutarlo, conectarse al localhost, escoger "Server admin" y pulsar "Remove server" para sacarlo más fácilmente.

Por supuesto, tanto el BO como el NB deben ser ejecutados en nuestra máquina para que se activen. Por lo tanto, nuestra conducta con los programas que ejecutemos, cualquiera sea su origen, es la clave para considerar segura, o no, a nuestra computadora. Nunca olvide esto y dormirá tranquilo, sin temor a puertas traseras abiertas.