Semelhante ao Back Orifice, o NetBus é uma ferramenta que pode ser utilizada como um
sistema de administração remota para os ambientes operacionais Windows 95, Windows
98 e Windows NT.
É composto por um programa que atua como Servidor e um programa que atua como
Cliente, permitindo conexões remotas mesmo através da Internet, utilizando-se do
protocolo TCP.
Por suas inúmeras características e facilidades, o NetBus passou a ser utilizado
principalmente por hackers que pretendem manter controle sobre as máquinas de suas
vitimas, sem serem notados/detectados.
2. Comprometimento
O Servidor NetBus é auto-instalável indicando que na primeirá execução a maquina
passará a ser comprometida.
O NetBus permite um amplo controle sobre o Servidor, apresentando inúmeras
características das quais se destacam:
- Auto-instalável
- Auto executável (com o boot do Windows)
- Permite iniciar/executar qualquer aplicativo
- Permite fechar/terminar qualquer aplicativo
- Permite rebootar o servidor
- Pode desconectar usuários
- Permite enviar caracteres para aplicativos ativos
- Permite capturar o que esta sendo digitado no computador servidor
- Permite capturar a tela (screenshot) do computador servidor
- Retorna informações gerais sobre o computador
- Permite realizar upload de arquivos para o servidor
- Permite realizar download e deleções de qualquer arquivo do servidor
- Permite capturar o som de microfones instalados no servidor
- Possui esquemas de proteção e validação de acessos através de senhas
- Não aparece na Task List do Windows
Além disso, o NetBus faz uso de senhas para permitir o controle de acessos ao Servidor
NetBus. A string que contém a senha que o Cliente envia para o Servidor é semelhante à
linha abaixo:
Password;0;my_password
No entanto, detectou-se a presença de um backdoor no NetBus que permite a qualquer
Cliente estabelecer conexão com o Servidor sem a necessidade de se utilizar uma senha.
O Cliente pode conectar-se sem autenticação bastando substituir o valor do segundo
parâmetro da string de conexão acima de "0" para "1".
3. Detecção
Por default, o Servidor NetBus chama-se Patch.exe. No entanto pode perfeitamente ser
renomeado para qualquer outro nome.
O NetBus utiliza TCP para estabelecer o envio/recebimento de pacotes e dados,
permanecendo ativo nas portas 12345 e 12346 aguardando por conexões de clientes.
Como primeiro passo, é possível verificar se essas portas estão em uso por algum
serviço. Para tanto utiliza-se o comando 'netstat' conforme exemplo abaixo:
c:\>netstat -an | find "1234"
TCP 127.0.0.1:12345 0.0.0.0:0 LISTENING
Em seguida, é possível identificar que serviço esta ativo na porta apresentada pelo netstat.
Para tanto utiliza-se o comando telnet,
conforme exemplo abaixo:
c:\>telnet 127.0.0.1 12345
Se o NetBus estiver instalado e aguardando por conexões nesta porta, a seqüência abaixo
irá aparecer na janela do telnet:
'NetBus 1.53' Ou 'NetBus 1.60'
Alem desse procedimento, é possível examinar o registro do Windows a procura de
algumas chaves que podem ser criadas pelo programa quando de sua instalação. Execute
o 'regedit' e faca uma busca pelas chaves abaixo:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run[Nome do NetBus]
HKEY_CURRENT_USER\Patch\Settings\ServerPwd
A primeirá chave indica que o NetBus esta configurado para ser inicializado
automaticamente a cada boot do sistema. Já a segunda chave indica qual a senha (em
formato texto puro) que esta sendo utilizada para validar conexões.
4. Removendo o NetBus
Indica-se dois procedimentos básicos e simples para remoção do NetBus:
1) fazer uso de uma opção do Servidor NetBus que automaticamente deleta o executável,
conforme exemplo abaixo:
c:\>nome_do_netbus_server.exe /remove
2) utilizar o Cliente do NetBus para fazer essa remoção. Basta conectar-se ao Servidor
(podendo ser localhost), selecionar "Server admin" e em seguida "Remove server".
No entanto, notamos que em alguns casos as duas opções falharam ao limpar o registro
do Windows. Logo, indicamos que o processo de remoção seja feito manualmente
deletando-se o executável e limpando-se o registro eliminando-se as chaves criadas pelo
NetBus.
Se você tiver alguma Sugestão ou Critica me mande um e-Mail.
