NetBus

O NetBus, como o BO, pode ser propagado através de um trojan horse – um programa que tem função dupla: ele executa alguma tarefa para o usuário ver e, ao mesmo tempo, instala um outro programa no sistema sem que o usuário se dê conta.
Além da maioria das funções do BO, o NetBus tráz seu próprio repertório de truques. Abrir e fechar a porta do seu CDROM, mostrar imagens, inverter os botões do mouse, executar programas, emitir sons quando certas teclas sãoutilizadas, controlar o cursor do mouse, redirecionar o browser para uma certa página e bloquear teclas são algumas das opções. Fica difícil acreditar que se trata de uma inocente ferramenta de manutenção remota como defendem alguns. Pessoalmente, não vejo outra função para inverter os botões do mouse de alguém que não a de pregar peças.
 
Detectando o NetBus
O NetBus se comunica através das portas 12345 e 12346 (lembrem, o BO utiliza a 31337 por default). Você pode ver as portas de seu computador que estão em uso através do comando C:\>netstat -na (utilize o MS-DOS Prompt) ; assim como descrito para o BO, verifique quais as portas que estão sendo usadas. Se vc encontrar a 12345 ou a 12346, fique certo de que sua máquina está infectada. Uma forma mais direta de verificar se seu computador está "infectado" pelo NetBus é através do comando "telnet localhost 12345" (digite-o em uma janela de DOS). Se a resposta for algo como "NetBus 1.53" ou "NetBus 1.60" você está vulnerável e precisa eliminar o NetBus de seu computador.
A versão atual do NetBus é a 2.0, mas ainda está circulando por aí a 1.53 e 1.60. O NB é, na verdade, mais antigo do que o Back Orifice, mas parece que só agora as pessoas estão despertando para a possibilidade de utilização desse aplicativo como um back door.

Localizando o NetBus
O grande problema ao se tentar remover esse tipo de programa é que ele pode estar instalado em seu computador com qualquer nome. Uma das maneiras que você pode usar para tentar descobrir esse nome é executar o Editor de Registros do Windows (RegEdit.exe, ele geralmente fica no diretório do Windows e você pode executá-lo com um clique duplo).
Na janela do Editor de Registros, expanda a pasta "HKEY_LOCAL_MACHINE", em seguida vá clicando nas pastas "SOFTWARE", "Microsoft", "Current Version" e "Run". Lá você verá o nome do monstrinho! Sabendo do nome, localize-o em seu disco através da facilidade de busca do Windows Explorer

Removendo o NetBus
1 - Versão 1.53
Para remover a versão 1.53 você deve procurar por dois arquivos no seu sistema: SysEdit.exe e KeyHook.dll.Mas atenção! SysEdit.exe é apenas o nome default, isto é, ele pode ter um outro nome; portanto use o Editor de Registros. Uma outra forma de detectá-lo é pelo tamanho - exatos 473,088 bytes.
Ao encontrar o arquivo, não o delete diretamente. Execute-o com o argumento /remove. Exemplificando: se você encontrou o arquivo no diretório C:\Windows com o nome default de SysEdit.exe, abra uma janela de DOS e digite C:\Windows\SysEdit.exe /remove O arquivo KeyHook.dll pode ser apagado normalmente. Feito isso use o telnet novamente para verificar se está tudo ok.

2 – Versão 1.60
Existem algumas ferramentas que já são capazes de localizar e remover o NetBus 1.60, mas você também pode tentar removê-lo manualmente. O nome mais comum do servidor NB é Patch.exe mas, novamente, ele pode estar em seu sistema sob outro nome.
Um vez que você tenha localizado o servidor NB, execute-o com o argumento /remove, exatamente como no exemplo para versão 1.53. Digamos que o diretório seja "C:\Windows\Temp\" e o arquivo se chame "SysLog.exe". Neste caso, você deve digitar : C:\Windows\Temp\SysLog.exe /remove.
Para testar se a remoção aconteceu da fato, tente o mesmo "telnet localhost 12345".