Manual do Net Bus

   

1. INTRODU��O

Semelhante ao Back Orifice, o NetBus � uma ferramenta que pode ser
utilizada como um sistema de administra��o remota para os ambientes          
operacionais Windows 95, Windows 98 e Windows NT.
� composto por um programa que atua como Servidor e um programa que
atua como Cliente, permitindo conex�es remotas mesmo atrav�s da Internet,          
utilizando-se do protocolo TCP.  
Por suas in�meras caracter�sticas e facilidades, o NetBus passou a ser   
utilizado principalmente por hackers que pretendem manter controle sobre       
as m�quinas de suas vitimas, sem serem notados/detectados.    

2. COMPROMETIMENTO  
        O Servidor NetBus � auto-instal�vel indicando que na primeir� execu��o      
a maquina passar� a ser comprometida.            
O NetBus permite um amplo controle sobre o Servidor, apresentando    
in�meras caracter�sticas das quais se destacam:     
        - Auto-instal�vel
        - Auto execut�vel (com o boot do Windows)
        - Permite iniciar/executar qualquer aplicativo
        - Permite fechar/terminar qualquer aplicativo
        - Permite rebootar o servidor
        - Pode desconectar usu�rios
        - Permite enviar caracteres para aplicativos ativos
        - Permite capturar o que esta sendo digitado no computador servidor
        - Permite capturar a tela (screenshot) do computador servidor
        - Retorna informa��es gerais sobre o computador
        - Permite realizar upload de arquivos para o servidor
        - Permite realizar download e dele��es de qualquer arquivo do  servidor
        - Permite capturar o som de microfones instalados no servidor
        - Possui esquemas de prote��o e valida��o de acessos atrav�s de  senhas
        - N�o aparece na Task List do Windows
          Al�m disso, o NetBus faz uso de senhas para permitir o controle de
        acessos ao Servidor NetBus. A string que cont�m a senha que o Cliente
        envia para o Servidor � semelhante � linha abaixo:
           Password;0;my_password
          No entanto, detectou-se a presen�a de um backdoor no NetBus que
permite a qualquer Cliente estabelecer conex�o com o Servidor sem a
necessidade de se utilizar uma senha. O Cliente pode conectar-se sem
autentica��o bastando substituir o valor do segundo par�metro da string
de conex�o acima de "0" para "1".    

3. DETEC��O
Por default, o Servidor NetBus chama-se Patch.exe. No entanto pode
perfeitamente ser renomeado para qualquer outro nome.
O NetBus utiliza TCP para estabelecer o envio/recebimento de pacotes e
dados, permanecendo ativo nas portas 12345 e 12346 aguardando por
conex�es de clientes.
Como primeiro passo, � poss�vel verificar se essas portas est�o em uso
por algum servi�o. Para tanto utiliza-se o comando 'netstat' conforme
exemplo abaixo:
c:\>netstat -an | find "1234"
TCP     120.100.102.203:12345     0.0.0.0:0       LISTENING
Em seguida, � poss�vel identificar que servi�o esta ativo na porta
apresentada pelo netstat. Para tanto utiliza-se o comando telnet,
conforme exemplo abaixo:
c:\>telnet 120.100.102.203 12345
Se o NetBus estiver instalado e aguardando por conex�es nesta porta, a          
seq��ncia abaixo ir� aparecer na janela do telnet:
'NetBus 1.53'           Ou:              'NetBus 1.60'
Alem desse procedimento, � poss�vel examinar o registro do Windows a
procura de algumas chaves que podem ser criadas pelo programa quando de
sua instala��o. Execute o 'regedit' e faca uma busca pelas chaves
abaixo:           
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run[Nome do NetBus]
HKEY_CURRENT_USER\Patch\Settings\ServerPwd
A primeir� chave indica que o NetBus esta configurado para ser
inicializado automaticamente a cada boot do sistema. J� a segunda chave
indica qual a senha (em formato texto puro) que esta sendo utilizada
para validar conex�es.    

4. REMOVENDO O NETBUS
Indica-se dois procedimentos b�sicos e simples para remo��o do NetBus:
1) fazer uso de uma op��o do Servidor NetBus que automaticamente deleta          
o execut�vel, conforme exemplo abaixo:
c:\>nome_do_netbus_server.exe /remove
2) utilizar o Cliente do NetBus para fazer essa remo��o. Basta
conectar-se ao Servidor (podendo ser localhost), selecionar "Server admin"
e em seguida "Remove server".
No entanto, notamos que em alguns casos as duas op��es falharam ao
limpar o registro do Windows. Logo, indicamos que o processo de remo��o
seja feito manualmente deletando-se o execut�vel e limpando-se o
registro eliminando-se as chaves criadas pelo NetBus.

pvoltar.gif (5379 bytes) �� Pagina inicial!