O NetBus, como o
BO, pode ser propagado através de um trojan horse um programa que tem função
dupla: ele executa alguma tarefa para o usuário ver e, ao mesmo tempo, instala um outro
programa no sistema sem que o usuário se dê conta.
Além da maioria das funções do BO,
o NetBus tráz seu próprio repertório de truques. Abrir e fechar a porta do seu CDROM,
mostrar imagens, inverter os botões do mouse, executar programas, emitir sons quando
certas teclas sãoutilizadas, controlar o cursor do mouse, redirecionar o browser para uma
certa página e bloquear teclas são algumas das opções. Fica difícil acreditar que se
trata de uma inocente ferramenta de manutenção remota como defendem alguns. Pessoalmente,
não vejo outra função para inverter os botões do mouse de alguém que não a de pregar
peças.
Detectando o NetBus
O NetBus se comunica através das
portas 12345 e 12346 (lembrem, o BO utiliza a 31337 por default). Você pode ver as portas
de seu computador que estão em uso através do comando C:\>netstat -na (utilize o
MS-DOS Prompt) ; assim como descrito para o BO, verifique quais as portas que estão sendo
usadas. Se vc encontrar a 12345 ou a 12346, fique certo de que sua máquina está
infectada. Uma forma mais direta de verificar se seu computador está
"infectado" pelo NetBus é através do comando "telnet localhost
12345" (digite-o em uma janela de DOS). Se a resposta for algo como "NetBus
1.53" ou "NetBus 1.60" você está vulnerável e precisa eliminar o NetBus
de seu computador.
A versão atual do NetBus é a 2.0,
mas ainda está circulando por aí a 1.53 e 1.60. O NB é, na verdade, mais antigo do que
o Back Orifice, mas parece que só agora as pessoas estão despertando para a
possibilidade de utilização desse aplicativo como um back door.
Localizando o NetBus
O grande problema ao se tentar
remover esse tipo de programa é que ele pode estar instalado em seu computador com
qualquer nome. Uma das maneiras que você pode usar para tentar descobrir esse nome é
executar o Editor de Registros do Windows (RegEdit.exe, ele geralmente fica no diretório
do Windows e você pode executá-lo com um clique duplo).
Na janela do Editor de Registros,
expanda a pasta "HKEY_LOCAL_MACHINE", em seguida vá clicando nas pastas
"SOFTWARE", "Microsoft", "Current Version" e
"Run". Lá você verá o nome do monstrinho! Sabendo do nome, localize-o em seu
disco através da facilidade de busca do Windows Explorer
Removendo o NetBus
1 - Versão 1.53
Para remover a versão 1.53 você
deve procurar por dois arquivos no seu sistema: SysEdit.exe e KeyHook.dll.Mas atenção!
SysEdit.exe é apenas o nome default, isto é, ele pode ter um outro nome; portanto use o
Editor de Registros. Uma outra forma de detectá-lo é pelo tamanho - exatos 473,088
bytes.
Ao encontrar o arquivo, não o delete
diretamente. Execute-o com o argumento /remove. Exemplificando: se você encontrou o
arquivo no diretório C:\Windows com o nome default de SysEdit.exe, abra uma janela de DOS
e digite C:\Windows\SysEdit.exe /remove O arquivo KeyHook.dll pode ser apagado
normalmente. Feito isso use o telnet novamente para verificar se está tudo ok.
2 Versão 1.60
Existem algumas ferramentas que já
são capazes de localizar e remover o NetBus 1.60, mas você também pode tentar
removê-lo manualmente. O nome mais comum do servidor NB é Patch.exe mas, novamente, ele
pode estar em seu sistema sob outro nome.
Um vez que você tenha localizado o
servidor NB, execute-o com o argumento /remove, exatamente como no exemplo para versão
1.53. Digamos que o diretório seja "C:\Windows\Temp\" e o arquivo se chame
"SysLog.exe". Neste caso, você deve digitar : C:\Windows\Temp\SysLog.exe
/remove.
Para testar se a remoção aconteceu da fato, tente o mesmo "telnet localhost
12345".