NETBUS
(vedi
come rimuoverlo) è un programma di BACKDOOR (tradotto è dietro la porta),
grazie a questo programma l'hacker può teleguidare il vostro computer. Netbus
è molto più evoluto di Back
Orifice. Netbus ha una interfaccia molto più semplice, bisogna solo
conoscere l'indirizzo IP
del computer da colpire (e non
è difficile ottenerlo), poi basta permere i pulsanti in dotazione col
programma client (programma dell'hacker) come Open CD-ROM che serve ad
aprire e chiudere il cassettino del CD-ROM o Play sound che serve a
fare suonare una musica al server remoto (il vostro computer colpito da hacker)
e moltissimi altri comandi intuitivi, quando un hacker installa il suo
"cavallo di troia" nel vostro computer mette una password per accedere
al vostro computer, in questo modo solo lui potrà accedere al vostro computer;
esiste però una master password password;1;password (funziona solo con
alcune versioni di Netbus, vedi
sotto) con questo codice qualunque hacker può accedere al vostro computer
se avete il "cavallo di troia" installato. Ciò che lo rende più
evoluto degli altri programmi di Back door è la possibilità di fare la
scansione automatica degli indirizzi IP e la possibilità di avere più persone
sotto il controllo dell'hacker, in questo modo l'hacker non deve inserire
sequenzialmente ogni indirizzo IP ma sarà il programma stesso a fare la
scansione; per fare la scansione basta mettere xxx.xxx.xxx.0+255 (dove xxx è un
numero compreso tra 0 e 255) in questo modo Netbus farà la scansione da 0 a 255
dell'ultimo campo dell'indirizzo IP (Netbus 2 pro è in grado di effettuare la
scansione di tutti i campi, ma deve essere crakkato per il corretto
funzionamento e per farlo dovete andare su Astalavista attraverso Altri FTP
di Programmi gratuiti del mio sito).
Il programma comprende due file: il programma server e il programma client.
Il programma server è il file con dimensione minore ed è il file che infetta
il computer del malcapitato, per infettare il computer il programma deve essere
eseguito, il nome del file generalmente è PATCH.EXE (ma il nome può essere
modificato a proprio piacimento); il programma è difficilmente visibile e si
carica ogni volta che si avvia il computer.
Il programma client è quello che usa l'hacker per spiare (o distruggere) il
vostro computer, ha un interfaccia semplicissima a pulsanti, bisogna solo
inserire l'indirizzo IP del computer infetto (o la gamma di indirizzi) e premere
i pulsanti.
Ogni computer infetto ha una sua password di accesso esclusiva dell'hacker che
vi ha infetto, però esistono programmi come BUS Conquer che sono in grado di
crakkare e cambiare la password di un computer remoto infetto da netbus.
Eccovi
disponibili alcune versioni di NETBUS:
NetBus
Pro 2.1
[download]
NetBus
Pro 2.0 Final
[download]
NetBus
v1.6
[download]
Help
Netbus
Guida
in italiano che spiega tutte le funzioni di Netbus!
[download]
Il Netbus 2 pro è diverso dalle versioni precedenti fatte da una
interfaccia a bottoni e due programmi (uno client l'altro server), infatti la
versione 2 è fatta da vari menù e due programmi uno client e l'altro per
creare un file server eseguibile. Per creare un file eseguibile bisogna andare
sul menù file del programma client e al posto di local server mettere exe
server. Il programma va registrato (siamo alla follia, pagare per avere un
backdoor), ma vari hackers hanno fatto il crack del programma (disponibile), che
dato il nome vi fornisce il numero di serie del programma (che va messo in
register che sta dentro il menù help).
Esiste anche SubSeven programma client che
sfrutta il server di netbus 1.7 ed ha una interfaccia molto più completa con
dei comandi per ICQ.
Per modificare o annullare la password di un computer
infetto dal server del Netbus bisogna seguire i seguenti passaggi:
-
eseguire
telnet (programma fornito con il Windows) da Esegui che sta dentro Start o
Avvio della barra delle applicazioni
-
aprire
il menù per la connessione cliccando sul Sistema remoto (Remote system)
-
inserire
l'indirizzo IP o DNS del computer infetto dal server
-
inserire
il numero della porta 12345 e clicca la connessione
-
se
leggi "Netbus 1.60 x" dopo pochi secondi la password è distrutta,
altrimenti seguita a leggere
-
chiudi
il telnet e riaprilo seguendo i punti 1 2 e 3 dopo scrivi i seguenti comandi
(le maiuscole devono essere rispettate):
Password;1;tuapassword
[enter]
ServerPwd; [enter]
Dove
tuapassword è la password che hai scelto tu
|
|
L'ultima
release del netbus e' la 2.0. Sostanzialmente e' un upgrade della version 1.7,
aggiungendo le caratteristiche tipiche dei programmi windows (Icone, scelta a
scalare ecc...). Vediamo le principali cararatteristiche:
-
Dopo
un primo approccio,osserviamo che la porta Default e' la 20034,
ma
che sarà possibile cambiare, con semplici passi.
-
Altra
caratteristica,che il prg server,ora si può configurare a nostro piacimento,
vediamo come:
|
|
Client Netbus 2.0pro beta |
|
Il
client e' in sostanza il prg che ci permette di connetterci con il server.A
differenza della versione 1.7,ora ci sono funzioni aggiuntive di grandi utilità:
Icone
e opzioni Netbus 2.0 pro
-File
= Da qui poteremo scegliere:
*)LOgBook = Log Connessioni
*)Setting = Da qui potrete settare il Network.Dal
menu' <Generale>,la lingua e la
directory del netbus,nonche' se comprimere i file quando trasferiti. - <Network>,Selezionando
la prima opzione non si attiva un proxy.Con la seconda lo attiviamo,impostando i
set di configurazione.
*)Server Setup = Opzioni descritte nella configurazione
Server
*)Exit = Esci dal programma
-Host = Finestra
|
Fig
3
|
Add
Host (fig 4)
|
*)Connect
= Avvia la connessione con l'host selezionato (fIG 3)
*)Disconnect = Disconnetti la connessione con l'host
selezionato (fIG 3) *)New = Add host Vedi (Fig 4)
*)Remove = Rimuovi ip selezionato
*)Edit.. = Edita l'ip selezionato
*)Find = Scansione per trovare host infetti. Inserisci un ip
d'inizio e un ip di fine,la porta e lascia inalterato il
sock.
*)Scheduler = E' un opzione che ti permette di decidere
tramite uno script quando effettuare una connessione con host diversi. Ecco
i comandi principali:
|
Command |
Param1
|
Param2
|
Param3 |
|
MessageBox |
Information |
Meeting
at 12. |
|
|
DeleteFile
|
C:\Temp.tmp |
|
|
|
NewFolder |
C:\New
|
|
|
|
DownloadFile |
C:\RemoteFolder\File.txt |
C:\LocalFolder |
|
|
UploadFile |
C:\RemoteFolder
|
C:\LocalFolder\File.txt |
|
|
AddRegData |
\hkey_local_user\temp |
StringName
|
StringValue |
|
DeleteRegName |
\hkey_local_user\temp
|
StringName |
|
|
RunPlugin |
Plugin.dll |
EntryPoint
|
Params |
|
ExecuteFile
|
C:\Folder\Job.bat
|
|
|
|
PlaySound |
C:\Folder\Sound.wav
|
|
|
|
ShowImage |
C:\Folder\Image.jpg |
|
|
|
OpenCD |
1
|
|
|
|
ExitWindows |
|
|
|
|
DisableKeys |
ABC
|
|
|
|
KeyClick |
1
|
|
|
|
SendText |
ABC
|
|
|
|
SwapMouse
|
1 |
|
|
Tutti
gli esempi con ”1” come parametro sono True (”0” tipo False).
OpenCD con ”0”
|
-
COntrol = Nel control ci sono
tutte le opzioni utili.Sono riprese molte opzioni della versione 1.7.Tra le
novita' in
*)Server Admin --> Restrict Access = Cliccando con il
tasto destro potrete aggiungere ip che
potranno connettersi con voi
*)Host info ,potrete vedere le pass di sistema
(solo per windows 95/98,non lavora x
windows NT) .
*)Registry Manager ,permette di gestire il
registro di configurazione.
Le
icone rappresentate sono shortcuts per una più semplice consultazione!!!!.
Devo
dire che il miglioramento effettuato,e' stato di buon livello per le opzioni
disponibili. Premetto subito che il server non e' compatibile con il
netbus 1.7. Il sistema di connessione però e' leggermente diverso, ma sempre
semplice. Una volta individuato un infetto tramite il <find> o script,
andiamo nel menù <Host>, e selezioniamo <New>. Immettiamo i
parametri occorrenti vedi fig (4). Attenzione!!! La porta default e' 20034 Tcp,
ma
potete cambiarla in 12345. C'è un però:
Poichè ora e' possibile
configurare il server, entrare risulta più difficoltoso, consiglio quindi di
continuare ad usare la versione 1.7 per esempio per chi usa il mio script :o) A
questo riguardo sto lavorando su un nuovo script per la scansione sulla nuova
porta. Ora non vi rimane che connettervi e ricordate, non siate cattivi e state
attenti perchè siamo tutti controllati.......
^
On
Top
Rimuovere
NETBUS e vari EXPLOIT
Per
togliere Netbus versione inferiore a 1.6 o Netsphere
bisogna vedere con Regedit nell'indirizzo: (HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\
CURRENTVERSION\RUN), quale è il nome
del file server che l'hacker vi ha installato, fatto ciò
eseguire nome_del_file_server /remove
dove nome_del_file_server è il nome del file che avete
individuato, a questo punto cancellate il programma
server.
Per eliminare Netbus per versioni da 1.6 a superiore
potete fare la stessa cosa descritta sopra o scaricare
il programma Netbus (se non lo trovate ve lo fornisco
io, ma dentro Astalavista lo trovate sicuramente)
ed eliminarlo direttamente con il
programma client tramite le opzioni. Altro modo per
togliere netbus bisogna eliminare il collegamento al
programma sospetto eliminando la chiave del registro
regedit all'indirizzo sopra specificato in giallo, scriversi su un
foglietto il nome del programma che in genere è "patch.exe",
riavviare il sistema, cercare il file che in genere sta
dentro c:\windows\system
ed eliminarlo semplicemente tramite elimina di gestione
delle risorse (o file manager), oppure ad esempio se è
patch.exe fate: PATCH.EXE /REMOVE
(questo è il modo più efficace e sicuro che esiste).
Esiste anche un programma chiamato Netbast
che nel caso in cui qualcuno prova ad intromettersi nel
vostro sistema tramite netbus il programma manda in
overlow il computer dell'hacker bloccandogli il
computer.
Altro modo per eliminare NetSphere è
collegandosi a se stessi cioè 127.0.0.1 con il client
del programma poi selezionare Target > Server
> Remove Server. Nel caso in cui sia un file
server dotato di password allora vai su Start o Avvio
della barra delle applicazioni, poi vai su esegui e
insersci il nome del file server con relativo percorso,
cioè se il file è nssx.exe allora bisogna inserire
dentro esegui la riga di comando c:\windows\system\nssx.exe
/visible poi dal menù del file server clicca
su REMOVE.
Per eliminare Master's Paradise dovete
vedere nel registro di sistema con Regedit alla chiave
riportata sopra
(HKEY_LOCAL_MACHINE\......\RUN) in
genere viene infettato SYSEDIT.EXE, è un programma
fornito con Windows per editare i file di sistema, se è
infettato il vostro computer questo programma non edita
più i file, comunque potrebbe trovarsi anche sotto
altri nomi di file, eliminare il collegamento al
programma dal registro e cancellare il programma server
come descritto per gli altri due Backdoor precedenti
(Back Orifice e Netbus).
Per evitare di essere spiati con Netbios
invece dovete soltanto disattivare l'opzione netbios da
CLIENT per reti Microsoft che sta dentro Rete del
Pannello di controllo e se possibile disattivare
Condivisione file e stampanti almeno quando ci si
connette ad internet.
Per gli altri exploit (netbios è un
exploit) non c'è nessun modo per evitare di essere
penetrati, aggiornamenti molto frequenti dei software
possono risolvere alcuni bug, tenere meno applicazioni
possibili attive che utilizzano internet può servire a
tenere le porte e i programmi dotati di bug utili agli
exploit chiuse, al massimo aprire un programma alla
volta, ma la penetrazione al sistema è solo questione
di tempo, fare delle connessioni brevi e utilizzare
firewall o proxy server non è utile anzi esistono vari
bug sfruttati dagli exploit che usano proprio questi
sistemi di sicurezza.
Per determinare l'infezione da Remote Explorer
si posso fare due strade:
-
Eseguire
l'applicazione Servizi che si trova in Pannello di
Controllo, controllare se nella lista dei servizi
c'è Remote Explorer.
-
Lanciare
con Start Menu il programma TASKMGR.EXE e vedere se
c'è IE403R.SYS o TASKMGR.SYS (non file exe,
potrebbe però essere anche sotto altro nome a
seconda della versione del virus di rete)
Se
in uno di questi due casi risulta quanto detto siete
infettati, Eliminare il file IE403R.SYS o TASKMGR.SYS
non è utile a ripristinare il sistema.
Se invece avete commesso l'imprudenza di aprire il file HAPPY99.EXE
(virus di rete che si diffonde attraverso la posta
elettronica chiamato HAPPY99) senza
prima esaminarlo con un software antivirus aggiornato,
niente panico: esiste una procedura molto semplice per
liberarsene.
-
Uscite
da Windows ed entrate in Ms-Dos (o aprite una
sessione Dos)
-
Andate
nella directory System di Windows
-
Eliminate
i file: ska.exe - ska.dll - wsock32.dll
-
Rinominate
il file wsock32.ska in wsock32.dll
Inoltre,
ricordatevi di avvertire tutte le persone cui avete
mandato messaggi recentemente.
Ulteriori notizie le potete trovare sul sito Symantec
^
On
Top
REMOTE ADMINISTRATION
TOOLS:
BackOffice
2000
Famoso
trojan simile a Netbus.
[download]
Sorgenti
BackOffice 2000
Le
sorgenti per BackOffice 2000.
[download]
DeepThroat
v3.1 (server and client included in this package)
[download]
SchoolBus
v1.60
[download]
Donald
Dick v1.52 client & server for Windows 95/98/NT
[download]
BO2K
International Distribution v1.0
[download]
NetSphere
1.30 (1999)
[download]
7Sphere
[download]
Subseven
v2.1 MUIE
[Needed
DLL] [download]
Hack'a'Tack
[download]
Back
Orifice client and server (1998)
[download]
ICQ: