NETBUS è un programma di BACKDOOR (tradotto è dietro la porta), grazie a questo programma l'hacker può teleguidare il vostro computer. Netbus è molto più evoluto di Back Orifice. Netbus ha una interfaccia molto più semplice, bisogna solo conoscere l'indirizzo IP del computer da colpire (e non è difficile ottenerlo), poi basta permere i pulsanti in dotazione col programma client (programma dell'hacker) come Open CD-ROM che serve ad aprire e chiudere il cassettino del CD-ROM o Play sound che serve a fare suonare una musica al server remoto (il vostro computer colpito da hacker) e moltissimi altri comandi intuitivi, quando un hacker installa il suo "cavallo di troia" nel vostro computer mette una password per accedere al vostro computer, in questo modo solo lui potrà accedere al vostro computer; esiste però una master password password;1;password (funziona solo con alcune versioni di Netbus, vedi sotto) con questo codice qualunque hacker può accedere al vostro computer se avete il "cavallo di troia" installato. Ciò che lo rende più evoluto degli altri programmi di Back door è la possibilità di fare la scansione automatica degli indirizzi IP e la possibilità di avere più persone sotto il controllo dell'hacker, in questo modo l'hacker non deve inserire sequenzialmente ogni indirizzo IP ma sarà il programma stesso a fare la scansione; per fare la scansione basta mettere xxx.xxx.xxx.0+255 (dove xxx è un numero compreso tra 0 e 255) in questo modo Netbus farà la scansione da 0 a 255 dell'ultimo campo dell'indirizzo IP (Netbus 2 pro è in grado di effettuare la scansione di tutti i campi, ma deve essere crakkato per il corretto funzionamento e per farlo dovete andare su Astalavista attraverso Altri FTP di Programmi gratuiti del mio sito). Il programma comprende due file: il programma server e il programma client. Il programma server è il file con dimensione minore ed è il file che infetta il computer del malcapitato, per infettare il computer il programma deve essere eseguito, il nome del file generalmente è PATCH.EXE (ma il nome può essere modificato a proprio piacimento); il programma è difficilmente visibile e si carica ogni volta che si avvia il computer. Il programma client è quello che usa l'hacker per spiare (o distruggere) il vostro computer, ha un interfaccia semplicissima a pulsanti, bisogna solo inserire l'indirizzo IP del computer infetto (o la gamma di indirizzi) e premere i pulsanti. Ogni computer infetto ha una sua password di accesso esclusiva dell'hacker che vi ha infetto, però esistono programmi come BUS Conquer che sono in grado di crakkare e cambiare la password di un computer remoto infetto da netbus. |
Le Varie Versioni di Netbus
NetBus Pro 2.1
NetBus Pro 2.0 Final
NetBus v1.6
--------------
Il Netbus 2 pro è diverso dalle versioni precedenti fatte da una interfaccia a bottoni e due programmi (uno client l'altro server), infatti la versione 2 è fatta da vari menù e due programmi uno client e l'altro per creare un file server eseguibile. Per creare un file eseguibile bisogna andare sul menù file del programma client e al posto di local server mettere exe server. Il programma va registrato (siamo alla follia, pagare per avere un backdoor), ma vari hackers hanno fatto il crack del programma (disponibile), che dato il nome vi fornisce il numero di serie del programma (che va messo in register che sta dentro il menù help).
Esiste anche SubSeven programma client che sfrutta il server di netbus 1.7 ed ha una interfaccia molto più completa con dei comandi per ICQ.
Per modificare o annullare la password di un computer infetto dal server del Netbus bisogna seguire i seguenti passaggi:
eseguire telnet (programma fornito con il Windows) da Esegui che sta dentro Start o Avvio della barra delle applicazioni
aprire il menù per la connessione cliccando sul Sistema remoto (Remote system)
inserire l'indirizzo IP o DNS del computer infetto dal server
inserire il numero della porta 12345 e clicca la connessione
se leggi "Netbus 1.60 x" dopo pochi secondi la password è distrutta, altrimenti seguita a leggere
chiudi il telnet e riaprilo seguendo i punti 1 2 e 3 dopo scrivi i seguenti comandi (le maiuscole devono essere rispettate):
Password;1;tuapassword [enter]
ServerPwd; [enter]
Dove tuapassword è la password che hai scelto tu
Chiudi il telnet e collegati all'IP o DNS del computer infetto con Netbus
NetBus Pro 2.0 Final
NetBus v1.6
--------------
Il Netbus 2 pro è diverso dalle versioni precedenti fatte da una interfaccia a bottoni e due programmi (uno client l'altro server), infatti la versione 2 è fatta da vari menù e due programmi uno client e l'altro per creare un file server eseguibile. Per creare un file eseguibile bisogna andare sul menù file del programma client e al posto di local server mettere exe server. Il programma va registrato (siamo alla follia, pagare per avere un backdoor), ma vari hackers hanno fatto il crack del programma (disponibile), che dato il nome vi fornisce il numero di serie del programma (che va messo in register che sta dentro il menù help).
Esiste anche SubSeven programma client che sfrutta il server di netbus 1.7 ed ha una interfaccia molto più completa con dei comandi per ICQ.
Per modificare o annullare la password di un computer infetto dal server del Netbus bisogna seguire i seguenti passaggi:
eseguire telnet (programma fornito con il Windows) da Esegui che sta dentro Start o Avvio della barra delle applicazioni
aprire il menù per la connessione cliccando sul Sistema remoto (Remote system)
inserire l'indirizzo IP o DNS del computer infetto dal server
inserire il numero della porta 12345 e clicca la connessione
se leggi "Netbus 1.60 x" dopo pochi secondi la password è distrutta, altrimenti seguita a leggere
chiudi il telnet e riaprilo seguendo i punti 1 2 e 3 dopo scrivi i seguenti comandi (le maiuscole devono essere rispettate):
Password;1;tuapassword [enter]
ServerPwd; [enter]
Dove tuapassword è la password che hai scelto tu
Chiudi il telnet e collegati all'IP o DNS del computer infetto con Netbus
Installazione e configurazione del NETBUS 2.0 PRO FINAL
L'ultima release del netbus e' la 2.0. Sostanzialmente e' un upgrade della version 1.7, aggiungendo le caratteristiche tipiche dei programmi windows (Icone, scelta a scalare ecc...). Vediamo le principali cararatteristiche:
- Dopo un primo approccio,osserviamo che la porta Default e' la 20034, ma che sarà possibile cambiare, con semplici passi.
- Altra caratteristica,che il prg server,ora si può configurare a nostro piacimento, vediamo come:
CONFIGURAZIONE CLIENT
La fig (1),rappresenta in definitiva una sorta di netbuster,cioe' indica gli ip connessi con il nostro server.Cliccando su "Setting" ,si aprira' la finestrai in figura (2),da qui potremo scegliere:
-Accept Connection =Il server accetta la connessione da parte di un client
-Run on Port = Porta default utilizzata dal client per lavorare.Quest'ultima e al 20034 ma la potremo cambiare.
-Password = Set password,lasciando in bianco ogni utente puo' entrare liberamente senza bisogno di alcuna autorizzazione.
-Visibility of Server = Indica la visibilita' del server.Potrete scegliere tre Opzioni:
*)Fully visible = Pienamente visibile
*)Minimiza as TrayICon= Minimizza come icona sul desktop
*)Only in tasklist = Visibile solamente in task List.La task list e' la lista di avvio che ha windown 95/98/NT.Premi ctrl+alt+Canc,vedrai la lista completa di programmi attivi.
*)Invisible Mode = Mode invisibile con sistemi 95/98.
-Access mode = Tramite le opzioni potrete decidere il livello di accesso che puo' avere un client:
*)Basic Access = Accede alle funzioni base.
*)Spy mode access = Mode in accesso spia.Consente una visualizzazione di parte delle funzioni.
*)Full access = Il server da l'accesso a tutte le funzioni.
-Autostart every Windows Session = Fa partire il prg Server ogni qualvolta che windows si avvia.
-Log Communication = Crea un log del server in connessione
.
Come Rimuovere NETBUS
Rimuovere NETBUS e vari EXPLOIT
Per togliere Netbus versione inferiore a 1.6 o Netsphere bisogna vedere con Regedit nell'indirizzo: (HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\
CURRENTVERSION\RUN), quale è il nome del file server che l'hacker vi ha installato, fatto ciò eseguire nome_del_file_server /remove dove nome_del_file_server è il nome del file che avete individuato, a questo punto cancellate il programma server.
Per eliminare Netbus per versioni da 1.6 a superiore potete fare la stessa cosa descritta sopra o scaricare il programma Netbus (se non lo trovate ve lo fornisco io, ma dentro Astalavista lo trovate sicuramente) ed eliminarlo direttamente con il programma client tramite le opzioni. Altro modo per togliere netbus bisogna eliminare il collegamento al programma sospetto eliminando la chiave del registro regedit all'indirizzo sopra specificato in giallo, scriversi su un foglietto il nome del programma che in genere è "patch.exe", riavviare il sistema, cercare il file che in genere sta dentro c:\windows\system ed eliminarlo semplicemente tramite elimina di gestione delle risorse (o file manager), oppure ad esempio se è patch.exe fate: PATCH.EXE /REMOVE (questo è il modo più efficace e sicuro che esiste). Esiste anche un programma chiamato Netbast che nel caso in cui qualcuno prova ad intromettersi nel vostro sistema tramite netbus il programma manda in overlow il computer dell'hacker bloccandogli il computer.
Altro modo per eliminare NetSphere è collegandosi a se stessi cioè 127.0.0.1 con il client del programma poi selezionare Target > Server > Remove Server. Nel caso in cui sia un file server dotato di password allora vai su Start o Avvio della barra delle applicazioni, poi vai su esegui e insersci il nome del file server con relativo percorso, cioè se il file è nssx.exe allora bisogna inserire dentro esegui la riga di comando c:\windows\system\nssx.exe /visible poi dal menù del file server clicca su REMOVE.
Per eliminare Master's Paradise dovete vedere nel registro di sistema con Regedit alla chiave riportata sopra (HKEY_LOCAL_MACHINE\......\RUN) in genere viene infettato SYSEDIT.EXE, è un programma fornito con Windows per editare i file di sistema, se è infettato il vostro computer questo programma non edita più i file, comunque potrebbe trovarsi anche sotto altri nomi di file, eliminare il collegamento al programma dal registro e cancellare il programma server come descritto per gli altri due Backdoor precedenti (Back Orifice e Netbus).
Per evitare di essere spiati con Netbios invece dovete soltanto disattivare l'opzione netbios da CLIENT per reti Microsoft che sta dentro Rete del Pannello di controllo e se possibile disattivare Condivisione file e stampanti almeno quando ci si connette ad internet.
Per gli altri exploit (netbios è un exploit) non c'è nessun modo per evitare di essere penetrati, aggiornamenti molto frequenti dei software possono risolvere alcuni bug, tenere meno applicazioni possibili attive che utilizzano internet può servire a tenere le porte e i programmi dotati di bug utili agli exploit chiuse, al massimo aprire un programma alla volta, ma la penetrazione al sistema è solo questione di tempo, fare delle connessioni brevi e utilizzare firewall o proxy server non è utile anzi esistono vari bug sfruttati dagli exploit che usano proprio questi sistemi di sicurezza.
Per determinare l'infezione da Remote Explorer si posso fare due strade:
Eseguire l'applicazione Servizi che si trova in Pannello di Controllo, controllare se nella lista dei servizi c'è Remote Explorer.
Lanciare con Start Menu il programma TASKMGR.EXE e vedere se c'è IE403R.SYS o TASKMGR.SYS (non file exe, potrebbe però essere anche sotto altro nome a seconda della versione del virus di rete)
Se in uno di questi due casi risulta quanto detto siete infettati, Eliminare il file IE403R.SYS o TASKMGR.SYS non è utile a ripristinare il sistema.
Se invece avete commesso l'imprudenza di aprire il file HAPPY99.EXE (virus di rete che si diffonde attraverso la posta elettronica chiamato HAPPY99) senza prima esaminarlo con un software antivirus aggiornato, niente panico: esiste una procedura molto semplice per liberarsene.
Uscite da Windows ed entrate in Ms-Dos (o aprite una sessione Dos)
Andate nella directory System di Windows
Eliminate i file: ska.exe - ska.dll - wsock32.dll
Rinominate il file wsock32.ska in wsock32.dll
Inoltre, ricordatevi di avvertire tutte le persone cui avete mandato messaggi recentemente.
Ulteriori notizie le potete trovare sul sito Symantec
Per togliere Netbus versione inferiore a 1.6 o Netsphere bisogna vedere con Regedit nell'indirizzo: (HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\
CURRENTVERSION\RUN), quale è il nome del file server che l'hacker vi ha installato, fatto ciò eseguire nome_del_file_server /remove dove nome_del_file_server è il nome del file che avete individuato, a questo punto cancellate il programma server.
Per eliminare Netbus per versioni da 1.6 a superiore potete fare la stessa cosa descritta sopra o scaricare il programma Netbus (se non lo trovate ve lo fornisco io, ma dentro Astalavista lo trovate sicuramente) ed eliminarlo direttamente con il programma client tramite le opzioni. Altro modo per togliere netbus bisogna eliminare il collegamento al programma sospetto eliminando la chiave del registro regedit all'indirizzo sopra specificato in giallo, scriversi su un foglietto il nome del programma che in genere è "patch.exe", riavviare il sistema, cercare il file che in genere sta dentro c:\windows\system ed eliminarlo semplicemente tramite elimina di gestione delle risorse (o file manager), oppure ad esempio se è patch.exe fate: PATCH.EXE /REMOVE (questo è il modo più efficace e sicuro che esiste). Esiste anche un programma chiamato Netbast che nel caso in cui qualcuno prova ad intromettersi nel vostro sistema tramite netbus il programma manda in overlow il computer dell'hacker bloccandogli il computer.
Altro modo per eliminare NetSphere è collegandosi a se stessi cioè 127.0.0.1 con il client del programma poi selezionare Target > Server > Remove Server. Nel caso in cui sia un file server dotato di password allora vai su Start o Avvio della barra delle applicazioni, poi vai su esegui e insersci il nome del file server con relativo percorso, cioè se il file è nssx.exe allora bisogna inserire dentro esegui la riga di comando c:\windows\system\nssx.exe /visible poi dal menù del file server clicca su REMOVE.
Per eliminare Master's Paradise dovete vedere nel registro di sistema con Regedit alla chiave riportata sopra (HKEY_LOCAL_MACHINE\......\RUN) in genere viene infettato SYSEDIT.EXE, è un programma fornito con Windows per editare i file di sistema, se è infettato il vostro computer questo programma non edita più i file, comunque potrebbe trovarsi anche sotto altri nomi di file, eliminare il collegamento al programma dal registro e cancellare il programma server come descritto per gli altri due Backdoor precedenti (Back Orifice e Netbus).
Per evitare di essere spiati con Netbios invece dovete soltanto disattivare l'opzione netbios da CLIENT per reti Microsoft che sta dentro Rete del Pannello di controllo e se possibile disattivare Condivisione file e stampanti almeno quando ci si connette ad internet.
Per gli altri exploit (netbios è un exploit) non c'è nessun modo per evitare di essere penetrati, aggiornamenti molto frequenti dei software possono risolvere alcuni bug, tenere meno applicazioni possibili attive che utilizzano internet può servire a tenere le porte e i programmi dotati di bug utili agli exploit chiuse, al massimo aprire un programma alla volta, ma la penetrazione al sistema è solo questione di tempo, fare delle connessioni brevi e utilizzare firewall o proxy server non è utile anzi esistono vari bug sfruttati dagli exploit che usano proprio questi sistemi di sicurezza.
Per determinare l'infezione da Remote Explorer si posso fare due strade:
Eseguire l'applicazione Servizi che si trova in Pannello di Controllo, controllare se nella lista dei servizi c'è Remote Explorer.
Lanciare con Start Menu il programma TASKMGR.EXE e vedere se c'è IE403R.SYS o TASKMGR.SYS (non file exe, potrebbe però essere anche sotto altro nome a seconda della versione del virus di rete)
Se in uno di questi due casi risulta quanto detto siete infettati, Eliminare il file IE403R.SYS o TASKMGR.SYS non è utile a ripristinare il sistema.
Se invece avete commesso l'imprudenza di aprire il file HAPPY99.EXE (virus di rete che si diffonde attraverso la posta elettronica chiamato HAPPY99) senza prima esaminarlo con un software antivirus aggiornato, niente panico: esiste una procedura molto semplice per liberarsene.
Uscite da Windows ed entrate in Ms-Dos (o aprite una sessione Dos)
Andate nella directory System di Windows
Eliminate i file: ska.exe - ska.dll - wsock32.dll
Rinominate il file wsock32.ska in wsock32.dll
Inoltre, ricordatevi di avvertire tutte le persone cui avete mandato messaggi recentemente.
Ulteriori notizie le potete trovare sul sito Symantec
Screen di Ha049c