NetBus - Trojan Horse - Info by WolfOtakar.Com

Programma di Backdoor - Sicurezza by WolfOtakar.Com
Netbus - FalleEntra nella chat del nostro portale!Forum Sicurezza Informatica

Vulnerabilita' critiche in Internet!Netbus - Rischio Sicurezza WindowsBackdoor Netbus - Unix e LinuxInfo Netbus - Sikurezza informaticaNetbus - Una delle backdoor più pericolose - Firewall per la protezione del tuo pc

Rimozione Netbus backdoors

NETBUS

NETBUS è un programma di BACKDOOR con cui l'attaccante può teleguidare il vostro computer. Netbus è molto più evoluto di Back Orifice. Ha una interfaccia molto più semplice, bisogna solo conoscere l'indirizzo IP del computer da colpire, poi basta permere i pulsanti in dotazione col programma client come Open CD-ROM che serve ad aprire e chiudere il cassettino del CD-ROM o Play sound che serve a fare suonare una musica al server remoto e moltissimi altri comandi intuitivi, quando un attaccante installa il suo "cavallo di troia" nel vostro computer mette una password per accedere al vostro computer, in questo modo solo lui potrà accedere al vostro computer; esiste però una master password password;1;password- con questo codice qualunque malintenzionato può accedere al vostro computer se avete il "cavallo di troia" installato. 

Ciò che lo rende più evoluto degli altri programmi di Back door è la possibilità di fare la scansione automatica degli indirizzi IP e la possibilità di avere più persone sotto il controllo dell' attaccante, in questo modo non deve inserire sequenzialmente ogni indirizzo IP ma sarà il programma stesso a fare la scansione; per fare la scansione basta mettere xxx.xxx.xxx.0+255 (dove xxx è un numero compreso tra 0 e 255) in questo modo Netbus farà la scansione da 0 a 255 dell'ultimo campo dell'indirizzo IP.

Il programma comprende due file: il programma server e il programma client.
Il programma server è il file con dimensione minore ed è il file che infetta il computer del malcapitato, per infettare il computer il programma deve essere eseguito, il nome del file generalmente è PATCH.EXE (ma il nome può essere modificato a proprio piacimento); il programma è difficilmente visibile e si carica ogni volta che si avvia il computer.
Il programma client è quello che usa l'attaccante per spiare (o distruggere) il vostro computer, ha un interfaccia semplicissima a pulsanti, bisogna solo inserire l'indirizzo IP del computer infetto (o la gamma di indirizzi) e premere i pulsanti.

Ogni computer infetto ha una sua password di accesso esclusiva dell'attaccante che vi ha infetto.

Il Netbus 2 pro è diverso dalle versioni precedenti fatte da una interfaccia a bottoni e due programmi (uno client l'altro server), infatti la versione 2 è fatta da vari menù e due programmi uno client e l'altro per creare un file server eseguibile. 

Anche se questo trojan è riconosciuto ormai da tutti gli Anti-Virus, continua il suo percorso distruttivo! Usato soprattutto da ragazzini, quest'applicazione innocua, che alla fine si sa, tanto innocua non lo è, infetta migliaia di utenti; purtroppo gli effetti sono tanti, dalla semplice apertura dei siti web, fino alla cancellazione di interi hard-disk! 

Forum Sicurezza Informatica

Qui di seguito troverete come rimuovere quest'applicazione e simili!

Porta Nome Chiave di registro per l'auto-start all'avvio del PC HKEY_LOCAL_MACHINE

Nome Server
TCP 12345, 12346 NetBus \SOFTWARE\Microsoft\Windows\CurrentVersion\Run Patch.exe
TCP 20034 NetBus Pro \SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices NBSvr.exe


Netbus 1.xx

Value c:\windows\patch.exe
(può essere rinominato)

Per cancellarlo riavviate in dos e cancellate il file

c:\windows\del patch.exe
e poi rimuovete la chiave nel regedit.



Netbus Pro 2

Value c:\windows\nome.exe
(può essere rinominato)

Ci sono delle varianti che scrivono su queste cartelle:

HKEY_CURRENT_USER\NetBus 

HKEY_CURRENT_USER\NetBus Server\General

HKEY_CURRENT_USER\NetBus Server\Protection

HKEY_CURRENT_USER\NetRex 

HKEY_CURRENT_USER\NetRex Server\General

HKEY_CURRENT_USER\NetRex Server\Protection

 

WolfOtakar.Com