NETBUS
Un altro programma simile a quello fatto dal Cult of the dead cow
è NetBus, funzionante sotto Windows 95, 98 e pure su Nt.
Anch'esso può aprire e chiudere il drive cd-rom, inviare
messaggi tramite IRC, ascoltare dal microfono di sistema (se
disponibile), eccetera.
Per comunicare, invece, ricorre al protocollo tcp-ip usando le
porte 12345 e 12346, perciò per verificare se è presente sulla
vostra macchina, basta che impartiate anche qui il comando
netstat (ne stat -an 1 find "12345").
Oppure, vi telnettiate sulla porta 12345 di local host Se NetBus
fosse installato, una stringa dei tipo 'NetBus 1.53'
o"NetBus 1.60 x verrebbe mostrata alla connessione.
Le comunicazioni tra il server e il pirata, a differenza di Back
Orifice non sono allietata, anche se è prevista la possibilità
di bloccare l'ac- cesso al server tramite una password
(memorizzata nel registry in HKEY _ CURRENT _
USER\Patch\Settings\ServerPwd).
La X-Force ha scoperto che in NetBus c'è una "entrata sul
retro" (backdoor nella backdoor) che permette a chiunque di
connettersi senza la password.
Basta digitare password;1;password quando questa è richiesta.
Per rimuovere NetBus ci sono tre metodi, a seconda della
versione.
Per la versione 1.5x, bisogna:
- chiudere, se possibile, qualsiasi processo sospetto premendo
CTR/ALT/CANC;
- provare a connettersi alla porta 12345 (telnet localhost 12345)
ogni volta che è stato chiuso un programma per verificare di
aver trovato quello giusto;
- avviare RegEditexe e cercare I file exe il cui percorso è
HKEY_LOCAL MACHINE\SOFrWARE\Microsoft\Windows\CurrentVersion\Run;
- cercare il nome dei server NetBus (che nella maggior parte dei
casi è SysEdit.exe ed è accompagnato dalla KeyHook.dll);
- prima di cancellare NetBus dal proprio disco fisso, eseguire
-nome_del_server/remove' che eliminerà eventuali richiami
allargando del sistema operativo.
Finalmente è possibile riavviare il computer.
Per la versione 1.6, oltre a quanto descritto sopra, che
resta valido, esiste un metodo più rapido:
bisogna collegarsi al server usando il programma client
(NetBus.exe, facilmente reperibile in rete) e sfruttando la back
door di NetBus si accede alla sua gestione.
Qui, la funzione 'server admin' permette di cancellare il
programma.