Conoscere e rimuovere il trojan NETBUS

NetBus è il trojan attualmente più diffuso della rete. Il suo exploit vi fu quando il fenomeno 'trojan' venne portato alla ribalta dagli organi di stampa, dopo l'intromissione di un gruppo di hacker nel server della Microsoft (con Back Orifice). Nel '98 NetBus conquistò favori per la sua semplicità d'utilizzo rispetto a BO; aveva il primo client fornito di interfaccia grafica. Le versioni più usate sono la 1.6 e la 1.7; di recente è stata pubblicata la ver. 2.x che ha una impostazione più professionale come software per la gestione di un computer remoto. Il client di NetBus 1.7 è di grosse dimensioni (483 kb) ed ha come nome di default Patch.exe e come icona questa raffigurata in basso, mentre il server di NetBus 1.6 aveva come icona una fiaccola. Il client permette tante operazioni sul computer controllato come ad es. la gestione file, la cattura del desktop...ma permette anche di personalizzare le impostazioni del server (cambiando la porta di ascolto e/o proteggendolo con una password). Il più presenta uno scanner per la ricerca di IP infetti (non molto affidabile in verità). [img]http://www.zano.it/public/1.gif[/img] Contrariamente al Back Orifice, il server installato non crea processi visibili dall'esterno per cui risulta difficilmente intercettabile, se attivo. [img]http://www.zano.it/public/2.gif[/img] Per identificare una generica infezione da trojan esiste un metodo universale molto efficace e semplice. E' sufficiente avviare dal buon vecchio DOS il programma 'Netstat' che segnala tutte le porte del vostro sistema attive o in ascolto (attesa di ricevere comandi). [img]http://www.zano.it/public/3gif.gif[/img] Quindi se appare una risposta come quella raffigurata quì in alto è possibile (conoscendo le porte 'a rischio') con buona sicurezza affermare che è presente qualcosa di anomalo. Nell'esempio, sapendo che NetBus usa come porta pre-impostata la n.ro 12345, deduciamo che .... :) Rimuoverlo Il server di NetBus adopera per l'auto-partenza, all'avvio del PC, una chiamata che si crea nel Registro di Configurazione di Windows, seguendo il percorso segnato quì in basso e si auto-installa nella directory C:\Windows: [img]http://www.zano.it/public/4.gif[/img] Quindi per la disinfezione occorre cancellare (usando l'utility Regedit di Windows) manualmente la chiave 'Patch.exe' segnata con la freccina rossa, riavviare il PC ed infine cancallare il file Patch.exe dalla directory di Windows. Questo sistema è per utenti abbastanza esperti. Si può, in alternativa, adoperare un software che compie tali operazioni automaticamente come il noto The Cleaner 3 o Trojan First Aid Kit 4 (prelevabili da www.download.com). Un'ulteriore sicurezza, se credete d'essere infetti, può provenire dall'utilizzo di un programma che blocca le porte nevralgiche, come NukeNabber 2.9b o PortBlocker della AnalogX... configurati opportunamente. [img]http://www.zano.it/public/5.gif[/img] La versione 2.x di NetBus contempla più opzioni rispetto alle 1.x, ma comunque la sua popolarità è scemata a causa dell'affermarsi, in ambiente hacker, di SubSeven, della obsolescenza del suo kernel e soprattutto perchè ....è shareware. A differenza delle prime versioni il server della versine 2.x si chiama NBSvr.exe, usa la porta di default 20034 e crea la sua chiamata (nel Registro di Configurazione) al percorso HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices . Il procollo usato da NetBus, in tutte le sue release, è il TCP (modalità di trasferimento dati tra client e server del trojan).

il 26/09/2005 10:30:55 70 click