Daha önceki sayılarımızda çeşitli İşletim Sistemleri için backdoorlara değinmiştik. Bu sayımızda da bugünlerin modası NETBUS'a değinmek istiyorum. NetBus 1.60 versiyonu Carl-Fredrik Neikter tarafından yapılmış Windows 95/98/NT 4.0 için tasarlanmış bilgisayarın uzaktan kontrolünü sağlayan bir program. Program lokal ağınızda çalışabileceği gibi Internette de çalışabiliyor. .ZIP dosyasının içerisinden 2 dosya çıkmakta; birincisi server program dediğimiz uzaktan kontrol etmek istediğimiz bilgisayarda yüklü bulunması gereken dosya, ikincisi de client program, kontrol mekanizmamız, kontrol edeceğimiz bilgisayarın kumandasını bu programla yapıyoruz.
Nasıl Çalıştıracağız?
1- Programın çalıştırabilmek için gerekli Patch.Exe dosayasını hedef bilgisayara IRC'den, maille vs. gönderin, hedefin programı bir kere çalıştırmasını sağlayın. Patch.Exe dosyası bir kez çalıştırıldığında kendisini her bilgisayarın açılışında aktif hale getirecektir. (Yani programın patch dosyasıyla açık kapatılmadığı sürece her açılışta hedef bilgisayarın arka kapısı açık kalacaktır.)
2- NetBus.Exe dosyasını kendi bilgisayarınızda herhangi bir yere açın.
3- Netbus.Exe dosyasını çalıştırın ve daha önceden Patch.Exe dosyasını göndermiş olduğunuz hedef bilgisayarın IP'sini Hostname/IP alanına yazın. Artık kontrol elinizde..
Neler Yapabiliriz?
Hedef bilgisayarın sahibini çileden çıkartmamız işten bile değil, CD sürücüsün kapağını belirlediğimiz sürelerde açıp kapatabilir, BMP/JPG formatındaki resimleri gösterebilir, mouse'un sağ/sol butonlarının yerlerini değiştirebilir, .Wav formatındaki sesleri muhatabın bilgisyarında çalabilir, mouse'un pozisyonunu belirlediğimiz koordinatlara getirebilir, ekranda belirlediğimiz mesajları verdirebilir vs. vs. onlarca zevkli işlem yapabiliriz. Ölçüyü kaçırmamakta yarar var :o)
Nelere Dikkat Etmeliyiz?
Karşı tarafa doğru dosyayı gönderdiğinizden emin olun, asla kendi bilgisayaranızda Patch.Exe dosyasını çalıştırmayın (ava giderken avlanmaktan farksız duruma düşersiniz), bence programla işiniz bittiğinde karşı bilgisayardan server'i kaldır seçeneğini seçip, şakayı tadında bırakın.
Patch.Exe dosyası ya benim bilgisayarımda da yüklüyse?
Bunu anlamanın en kolay yolu herhangi bir portscan programıyla açık portalrınızı kontrol etmeniz. Eğer ki 12345 ya da 12346. port açık gözüküyorsa bu arka kapı sizde de açık durumda. Anlamanın bir diğer yöntemi de localhosta 12345. porttan telnet atmak. MsDos Komut istemine geçip "telnet localhost 12345" komutuna karşılık açılan pencerede bir bağlantı kurulmuşsa netbus sizde kuruldur. Bu açığı kapatmak için uygulayacağınız yöntem ise:
1- Netbus.Exe , Patch.Exe vs. server programı nasıl geldiyse öncelikle o dosyayı silin.
2- Registry'den bir satır silmemiz gerekiyor. Start/Run "regedit" yazın. Regedit programı açılacak. Ctrl+F tuşuna basın. Bul menüsü gelecek. "\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run[Name of NetBus-server" satırını aratın. Bulunduğunda bu satırı tamamen silip bilgisayarınızı yeniden başlatın.
Hepinize bol eğlenceler dilerim ancak tadını kaçırmazsanız da iyi olur..