Троян Netbus

Опубликовано: 15 Апреля, 2023

Троян Netbus — один из самых известных троянов. Его автором является Карл-Фредерик Нейктер, который очень похож на троян Back Orifice, распространяемый CdC. Он позволяет ЛЮБОМУ, работающему с клиентской частью, подключаться и управлять ЛЮБЫМ, работающим с серверной частью, С ТЕМИ же ПРАВАМИ И ПРИВИЛЕГИЯМИ, ЧТО ПОЛЬЗОВАТЕЛЬ, ВХОДЯЩИЙ В НАСТОЯЩЕЕ ВРЕМЯ!

По словам Карла (также известного как «cf») и подтвержденного ISS X-Force (отчет на http://www.ntsecurity.net/scripts/loader.asp?iD=/security/netbus.htm), он способен из:

Открыть/закрыть компакт-диск
Показать дополнительное изображение BMP/JPG.
Поменять местами кнопки мыши.
Запустите дополнительное приложение.
Воспроизведение wav-файла.
Управление мышью.
Показать различные виды сообщений.
Выключите Windows.
Скачать/загрузить/удалить файлы
Перейдите по дополнительному URL-адресу.
Отправлять нажатия клавиш и отключать клавиши.
Слушайте и отправляйте нажатия клавиш.
Возьмите скриншот.
Увеличение и уменьшение громкости звука.
Запись звука с микрофона.
Загрузите необязательный файл.
Издавайте звуки щелчка при каждом нажатии клавиши.

Эта утилита также имеет возможность сканировать адреса «класса C», добавляя «+ количество портов» в конец целевого адреса. Пример: 255.255.255.1+254 будет сканировать от 255.255.255.1 до 255.

Удаление Netbus 2.0

Посетите отличный сайт Дэвида по удалению Netbus. Он находится по адресу: http://www.davidm.8m.com/netbus.html.

Удаление NetBus 1.5x

Узнайте имя NetBus-сервера (чаще всего это SysEdit.exe). Перейдите к списку задач и убейте любой подозрительный процесс, если это возможно. Если вы не можете убить Patch.exe, перейдите к удалению 1.6. После каждого убийства попробуйте подключиться к порту 12345 (telnet localhost 12345), и в тот момент, когда вы больше не сможете этого делать, вы найдете NetBus-сервер. Чаще всего NetBus-сервер запускается каждый раз при старте вашей системы (Windows). Конечно, вы можете просто удалить NetBus-сервер с вашего жесткого диска, но тогда при запуске вы получите раздражающее сообщение Windows о том, что программа не может быть запущена. Таким образом, перед удалением NetBus-сервера с жесткого диска вы либо удаляете ключ реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun[Name of NetBus-server], либо просто запускаете «NetBus_server_name /remove», что сделает то же самое.. Наконец, перезагрузите компьютер. NetBus-сервер также состоит из файла KeyHook.dll, который вы, вероятно, найдете в том же каталоге (DLL не может ничего делать сама по себе). Если вы его не нашли, значит кто-то забыл, что это необходимо для корректной работы некоторых функций (например, Listen-функция).

Удаление NetBus 1.6

Узнайте имя NetBus-сервера (чаще всего это Patch.exe). Запустите RegEdit.exe и найдите раздел реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun. По этому ключу вы сможете отличить серверную программу NetBus (опять же, чаще всего Patch.exe) от других. Программа-нарушитель обычно заканчивается «/nomsg». Когда вы обнаружите подозрительную запись, выполните поиск файла «[Имя сервера NetBus].exe» в вашей системе. Наконец, запустите «[Имя NetBus-сервера].exe /remove». Если вы запускали сервер NetBus, вы должны увидеть, что он просто запускается и быстро завершается без какого-либо взаимодействия. Замечательно. Более простой подход — использовать NetBus-клиент (NetBus.exe) самостоятельно, подключиться к локальному хосту, выбрать «Администратор сервера» и нажать кнопку «Удалить сервер».

Удаление NetBus 1.7

Netbus 1.7 был выпущен для публики 14.11.98. По сути, это та же программа, что и в версии 1.6, но с некоторыми новыми «возможностями», описанными Карлом здесь:
Какие новости?
Сверхбыстрый сканер портов.
Port Redirect — перенаправляет данные на другой хост и порт.
Настройка сервера — настраивает server-exe с некоторыми параметрами, такими как TCP-порт и уведомление по почте.
Application Redirect — перенаправляет ввод-вывод из консольных приложений на указанный TCP-порт.
Возможность ограничить доступ только к нескольким IP-номерам.

Удаление по сути то же самое, что и 1.60, за исключением того, что пароль (если он есть) больше не пишется в реестр. Все настройки (включая пароль) записываются в файл.ini, который будет иметь то же имя, что и программа. Вот пример patch.ini:

[Настройки]
Порт1=12345
СерверПвд=Пароль
ЛогТрафик=1
[электронная почта защищена]
[электронная почта защищена]
MailHost=ваш.почтовый.сервер

Если ведение журнала IP включено (как в приведенном выше примере), все команды и IP-адреса будут записываться в IP.TXT. Другой файл (читайте дальше, это очень важно) называется «Access.txt». Этот файл содержит список IP-адресов, РАЗРЕШЕННЫХ для подключения к серверу Netbus.

Следовательно, файлы для удаления: «Patch.exe», «Patch.ini», IP.TXT, а также удаление загрузочной части из реестра.

Значок Patch.exe больше не напоминает факел в проводнике Windows, теперь он напоминает «Канал» Internet Explorer. Предварительные результаты показывают почти тот же след, что и в версии 1.6, хотя теперь злоумышленник может использовать любой порт. Если у вас есть что-то, что вы хотели бы внести в это, прогуляйтесь по дискуссионному форуму, который я создал на этом сайте, расположенном здесь.

Захваты сетевых пакетов показывают, что схема пароля дополнена одним байтом (начиная с версии 1.6) и использует сравнение локальных файлов из \%systemroot%patch.ini. У Гибби была правильная идея использовать кряк, сгенерированный случайным образом, в Netbuster. Если вы запускали программу взлома Netbuster, вы заметите, что на взлом хорошей схемы паролей может уйти вечность. Если вы хотите защитить себя от этой версии, создайте файл с помощью блокнота под названием «Access.txt» только с IP-адресом 127.0.0.0.1 или какой-либо другой недопустимой строкой в верхней строке, сохраните его в каталоге Windows или WINNT (также называется «%systemroot%»), сделайте атрибут файла «только для чтения» и перезагрузите компьютер. Это предотвратит доступ пользователей Netbus 1.7 к вашему компьютеру через Netbus 1.7. И если кто-то попытался подсунуть Netbus 1.7 на ваш компьютер, это не будет иметь значения, потому что они не могут подключиться к вам. Для «компьютерных неграмотных» или «не умеющих работать с блокнотом» я привожу один здесь. Если вы используете проводник, щелкните правой кнопкой мыши «Сохранить объект как» и сохраните в каталоге Windows или WINNT. Если вы используете Netscape, «Shift-щелчок левой кнопкой мыши» в том же каталоге.

Нетбус 2.0 Про

Это вполне может быть способом Карла сказать: «Извините, ребята, ситуация вышла из-под контроля». Похоже, это действующая программа удаленного администрирования. Не скажу, что это невозможно троянить, но сделать это будет очень сложно. Чтобы активировать «серверную» часть, требуется либо вмешательство пользователя для принятия, либо права администратора для «помещения» необходимых записей реестра на «сервер», либо доступ к локальному хосту. Он находится в разделе загрузки для оценки. Для полного отчета об этом нажмите здесь

Удаление через реестр

Вот довольно подробная страница со скриншотами о том, как редактировать реестр для этого. (Новички будьте ОЧЕНЬ осторожны, если вы не знаете, что делаете, я настоятельно рекомендую вам найти кого-то, кто знает..)

Развлечение с Telnet (версия 1.60)

Поскольку схема шифрования паролей довольно примитивна, Netbus 1.60 также относительно легко взломать из Telnet, подключившись к порту 12345. Оказавшись там, вы получите ответ «Netbus 1.xx». Любой пароль будет принят, если он смещен с дополненной «1». например: Пароль;1;Пароль. В этот момент вы увидите «Доступ». Введите «ServerPwd;Password», и пароль будет сброшен на «Password». Сеанс telnet будет казаться зависшим, но теперь пароль изменен. Если вам просто нужна информация, «GetInfo;1» будет достаточно. Вам нужно будет включить локальное эхо на клиенте telnet, поэтому посмотрите, что вы печатаете, чтобы выполнить это. ПОЖАЛУЙСТА, БОЛЬШЕ НЕ ПИСАТЬ МНЕ ПО ЭЛЕКТРОННОЙ ПОЧТЕ С ВОПРОСОМ, КАК ЭТО СДЕЛАТЬ. В качестве примечания, довольно забавно читать угрозы расправы и прочее, присланные мне по электронной почте за раскрытие этого «секрета», укусившего лодыжку.

Ваккамоле

Существует особая игра под названием « », которая при запуске также устанавливает серверную часть этого трояна. Я не проверял это, но можно предположить, что это может быть произвольно установлено с использованием эксплойта «Переполнение буфера», описанного на: http://www.microsoft.com/ie/security/?/ie/security/oelong.htm. Вы можете найти исходный отчет от меня и выводы ISS X-Force здесь, а также другие процедуры удаления. Поскольку официальный веб-сайт NetBus имеет тенденцию перемещаться довольно часто, я предоставил троянскую «игру» здесь для анализа.

«Джон» выпустил whackjob версии 2.0, работающую на порту 20043, с «дополнительной функцией» автоматической очистки файла журнала при каждой перезагрузке ПК. Даже автор Netbus (Карл-Фредрик Нейктер) обеспокоен. Он связался с нами, чтобы узнать, как сделать следующий релиз неуязвимым для троянов.

«Джон» (также известный как ecoli) только что выпустил «whackjob2», который, разумеется, НАМНОГО опаснее предыдущих релизов.
ДОБАВЛЕНЫ ФАЙЛЫ И КАТАЛОГИ: (4)
д:NT40Log.txt
d:NT40NBHelp.dll
д:NT40 undll2.dl_
д:ТЕМПWZS13E.tmp
ДОБАВЛЕНЫ КЛЮЧИ РЕЕСТРА: (1)
HKEY_LOCAL_MACHINEПРОГРАММНОЕ ОБЕСПЕЧЕНИЕКлассы.dl_
ДОБАВЛЕНЫ ЗНАЧЕНИЯ КЛЮЧА РЕЕСТРА: (2)
HKEY_LOCAL_MACHINESOFTWAREClasses.dl_@=”exefile”
HKEY_LOCAL_MACHINESOFTWAREClasses.dl_Content Type="application/x-msdownload"
Он также добавил Rundll32:Reg_SZ:rundll2.dl_ в HKLMSWMSoftWindowsCurrentVerRun (InCtrl3 этого не уловил).
Размер сервера (rundll2.dl_)= 624 640
Он предварительно настроен для запуска «невидимого» на порту 20043 с паролем «ecoli».
Перехват пароля возможен со стороны клиента с «зарегистрированной версией». отключается после перезагрузки. Эта «маленькая песенка» появляется сразу после того, как MSNBC делает репортаж о «развороте» Cf. (http://www.msnbc.com/news/242902.asp)

Вы можете найти прекрасную статью об этом Марка Джозефа Эдвардса, щелкнув здесь и выбрав статью от 24 февраля 1999 года.

ВЕРСИЯ (1.7 Троян)

Я предполагаю, что он не сделал людей. Вот последние новости прямо с его сайта, ранее расположенного по адресу http://www.angelfire.com/nj/ecolisecurity.

«Game.exe — эта программа представляет собой троян, который устанавливает сервер netbusv1.7 при запуске без ведома пользователя — он делает это в фоновом режиме, а также запускает простую маленькую игру, в которой вы бьете кротов по голове.
Это продвинутый троян, который устанавливается очень скрытно и может перехитрить большинство антивирусных программ и программ-детекторов сети. Когда эта игра будет запущена, от netbus будет очень сложно избавиться.
Распространяйте его как хотите, но несите полную ответственность за свои действия, он не предназначен для незаконных целей. Протестируйте его с помощью антивирусных программ и программ-детекторов и дайте мне знать о любых программах, которые его очищают, и я изменю программу, чтобы победить ее. Не забудьте перезагрузить компьютер один или два раза и попытаться подключиться к серверу netbus после того, как программа сообщит вам, что она очищена. Это. Я протестировал многие, и все не смогли очистить его после запуска этой программы — напишите мне по адресу [email protected]
Его следует использовать с клиентом Netbus v1.7, он использует порт 12631 и пароль ecoli. Используйте на свой риск. Наслаждаться. Эколи.

Вы можете оценить этот троян, нажав здесь. Вы можете быстро проверить это здесь. (Выберите «Запустить этот файл из его текущего местоположения»)

БОЛЬШОЕ ПРИМЕЧАНИЕ: Как и в случае с любым трояном Netbus 1.7, ЭТО МОЖЕТ БЫТЬ СОВЕРШЕНО БЕСПОЛЕЗНЫМ ИЗ-ЗА ХОРОШО РАСПОЛОЖЕННОГО ТЕКСТОВОГО ФАЙЛА! Поэтому, если вы думаете, что можете быть уязвимы для трояна 1.7, загрузите Access.txt в каталог WINDOWS или WINNT. Читайте выше о версии 1.7 для получения дополнительной информации о «чудо-текстовом файле».

Если вы решите загрузить какой-либо из них, БУДЬТЕ КРАЙНЕ ОСТОРОЖНЫ, чтобы случайно не установить его на себя, если вы не в полной мере способны узнать и удалить его. Несколько заблудших людей обвинили меня в том, что я сделал это доступным для возможности подключения к их системе. Нет ничего более далекого от правды. Я лично помог сотням людей с тех пор, как появился этот сайт. Причина, по которой я публикую программы здесь, заключается в том, что я не верю в безопасность через неизвестность. Хотя это правда, что весь IP-трафик регистрируется на этом сайте, я посвятил значительные усилия в свободное время (то немногое, что у меня есть), чтобы помочь людям избавиться от этого дерьма. Здесь на ум приходит несколько причин: Это не настоящий «взлом». Несколько лет назад был день, когда термин «хакер» имел положительное значение. Это был кто-то, кто экспериментировал с системами и безопасностью только для того, чтобы увидеть, как это работает, ради чистой радости изучать что-то самостоятельно, не причиняя вреда чему-либо, что вам не принадлежало. Например, вы когда-нибудь решали что-то сложное (в любой ситуации) самостоятельно, абсолютно без чьей-либо помощи путем экспериментов, и говорили себе: «Черт, я в порядке..»? Нет? Может быть, вы забыли проткнуть отверткой масляный фильтр, чтобы использовать его в качестве гаечного ключа, или в первый раз, когда вы вылили содовую на пятно, и никто вам об этом не сказал. Никто, кроме вас, не должен «владеть» вашей системой. Как системный администратор, я насмотрелся на это в больших масштабах, чтобы меня стошнило от McNuggets. Специальное примечание для системных администраторов: Вы недавно сканировали ВАШУ сеть? Вы можете быть удивлены результатами..

Онлайн-сканирование для Netbus

Если вы предпочитаете не проверять наличие Netbus через реестр, вы можете использовать бесплатное онлайн-сканирование на вирусы Bitdefender по адресу: http://www.bitdefender.com/scan/licence.php для проверки и удаления трояна Netbus.

Нетбастер

Хотите немного повеселиться с людьми, которые подключались к вашему компьютеру до того, как вы удалили NetBus? Жаждете немного «Расплаты»? Скачайте NetBuster. Он имитирует сервер NetBus, вы видите, кто подключается, и вы можете отправлять ИМ сообщения и подшучивать над ними. Это версия, работающая под NT/95/98. Спасибо автору Хакану Бергстрему. Его сайт находится здесь и всегда имеет самую последнюю версию. Нажмите ЗДЕСЬ, чтобы скачать с этого сайта. Последняя версия, по словам Гибби, совместима и даже удалит ВСЕ ВЕРСИИ Netbus, включая последнюю версию 1.70.

08.01.99 - Ребята, мы получили несколько сообщений о компрометации ПК при использовании Netbuster 1.31. Пожалуйста, воздержитесь от загрузки этой версии, пока мы не подтвердим или не опровергнем эти сообщения. Версия 1.30, указанная выше, в настоящее время не затрагивается., хотя я и это подтверждаю. Эта версия также была отозвана, пока это не будет подтверждено.

20 января 1999 г. Мы исследовали это, к моему удовлетворению, и ПОКАЗЫВАЕТСЯ, что в этой программе нет «черного хода». Он подвержен атакам DoS (отказ в обслуживании) путем переполнения пакетов, но, как утверждает автор, вы никогда не должны полагаться на эту программу для защиты/удаления. Это только для развлекательных целей. Новинка, если хотите.

В заключение: Узнайте, как это работает, и вы не станете жертвой.