Manual Net Bus

 1. Introdução Semelhante ao Back Orifice, o NetBus é uma ferramenta que pode ser utilizada como um sistema de administração remota para os ambientes operacionais Windows 95, Windows 98 e Windows NT.

É composto por um programa que atua como Servidor e um programa que atua como Cliente, permitindo conexões remotas mesmo através da Internet, utilizando-se do protocolo TCP.

Por suas inúmeras características e facilidades, o NetBus passou a ser utilizado principalmente por hackers que pretendem manter controle sobre as máquinas de suas vitimas, sem serem notados/detectados.
 

2. Comprometimento

O Servidor NetBus é auto-instalável indicando que na primeirá execução a maquina passará a ser comprometida.

O NetBus permite um amplo controle sobre o Servidor, apresentando inúmeras características das quais se destacam:

        - Auto-instalável 
        - Auto executável (com o boot do Windows) 
        - Permite iniciar/executar qualquer aplicativo 
        - Permite fechar/terminar qualquer aplicativo 
        - Permite rebootar o servidor 
        - Pode desconectar usuários 
        - Permite enviar caracteres para aplicativos ativos 
        - Permite capturar o que esta sendo digitado no computador servidor 
        - Permite capturar a tela (screenshot) do computador servidor 
        - Retorna informações gerais sobre o computador 
        - Permite realizar upload de arquivos para o servidor 
        - Permite realizar download e deleções de qualquer arquivo do servidor 
        - Permite capturar o som de microfones instalados no servidor 
        - Possui esquemas de proteção e validação de acessos através de  senhas 
        - Não aparece na Task List do Windows

Password;0;my_password

No entanto, detectou-se a presença de um backdoor no NetBus que permite a qualquer Cliente estabelecer conexão com o Servidor sem a necessidade de se utilizar uma senha. O Cliente pode conectar-se sem autenticação bastando substituir o valor do segundo parâmetro da string de conexão acima de "0" para "1".
 

3. Detecção

Por default, o Servidor NetBus chama-se Patche.exe. No entanto pode perfeitamente ser renomeado para qualquer outro nome.

O NetBus utiliza TCP para estabelecer o envio/recebimento de pacotes e dados, permanecendo ativo nas portas 12345 e 12346 aguardando por conexões de clientes.

Como primeiro passo, é possível verificar se essas portas estão em uso por algum serviço. Para tanto utiliza-se o comando 'netstat' conforme exemplo abaixo:

           c:\>netstat -an | find "1234" 
           TCP     127.0.0.1:12345     0.0.0.0:0     LISTENING

           c:\>telnet 127.0.0.1 12345

           'NetBus 1.53'
           
        Ou:

           'NetBus 1.60'

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run[Nome do NetBus] HKEY_CURRENT_USER\Patch\Settings\ServerPwd

A primeirá chave indica que o NetBus esta configurado para ser inicializado automaticamente a cada boot do sistema. Já a segunda chave indica qual a senha (em formato texto puro) que esta sendo utilizada para validar conexões.

4. Removendo o NetBus

Indica-se dois procedimentos básicos e simples para remoção do NetBus:

1) fazer uso de uma opção do Servidor NetBus que automaticamente deleta o executável, conforme exemplo abaixo:

c:\>nome_do_netbus_server.exe /remove

2) utilizar o Cliente do NetBus para fazer essa remoção. Basta conectar-se ao Servidor (podendo ser localhost), selecionar "Server admin" e em seguida "Remove server".

No entanto, notamos que em alguns casos as duas opções falharam ao limpar o registro do Windows. Logo, indicamos que o processo de remoção seja feito manualmente deletando-se o executável e limpando-se o registro eliminando-se as chaves criadas pelo NetBus.

Voltar