martes, 2 de marzo de 1999

NetBus Pro 2.0, nueva versión del troyano

Sale a la luz la última versión de NetBus, el troyano que hasta
el momento rivalizaba en popularidad con el archiconocido Back
Orifice y que afecta a las versiones Windows 95, 98 y NT. En
HispaSec os presentamos los resultados obtenidos tras probar
esta nueva entrega que incorpora importantes novedades.
En esta versión encontramos las típicas funcionalidades, que
también se encuentran en Back Orifice, como son la obtención de
información de los sistemas remotos, caché de contraseñas, subir
y bajar ficheros, capturas de teclado y pantallas del ordenador
remoto ó la posibilidad de incorporar plug-ins.

A todo ello debemos de sumar nuevas características, como son el
poder escuchar a través del micrófono, capturar de dispositivos de
video (webcams), acceso y edición del registro, chatear y hasta la
incorporación de un programador de tareas para ejecutar scripts en
un momento determinado sin necesidad de que el cliente "atacante"
esté conectado. Por si fuera poco, NetBus Pro 2.0 incorpora soporte
multilingue, por lo que pronto estará disponible la versión en
castellano, lo que seguro aumentará la difusión de este troyano.

NetBus Pro puede bajarse en un ejecutable de 1,7mb que instala la
utilidad, como si de una aplicación comercial se tratara, con una
interfaz cuidada. Entre los ficheros nos encontraremos con
NBSVR.EXE (610kb), archivo que se tendrá que instalar en el
ordenador remoto (víctima). Cuando ejecutamos NBSVR.EXE crea en el
mismo directorio dos archivos, la librería NBHELP.DLL y LOG.TXT,
donde se guardará registro de todas las conexiones que se lleven
a cabo (IP y usuario), así como las actividades que se realicen.

A diferencia de otras versiones, el servidor en esta ocasión queda
visible, con lo que NetBus Pro 2.0 demuestra su enfoque como
herramienta de administración remota, queriéndose alejar del enfoque
underground. Sin embargo, existe la posibilidad de poner el servidor
en modo invisible, con lo que podrá pasar inadvertido en un sistema
y funcionar como un verdadero troyano. El puerto TCP que utiliza
para escuchar las conexiones es el 20034. A priori, el número puede
decir bien poco, pero si lo pasamos a hexadecimal obtendremos 4E42,
y estos dos bytes pasan a ser en ascii "NB", iniciales de NetBus.

Como en el resto de troyanos aconsejamos el uso del comando
NETSTAT -A, con el que obtendremos el listado de conexiones y
puertos a la escucha, para comprobar si tenemos el puerto 20034
activado y estamos afectados. La desinstalación pasa por ejecutar
la aplicación REGEDIT.EXE, acceder a la trayectoria:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunServices
y borrar la entrada "NetBus Server Pro" que contendrá el valor
"[path]NBSVR.EXE".

Una vez salgamos del editor de registro procederemos a borrar los
ficheros NBSVR.EXE, NBHELP.DLL y LOG.TXT. Para ello, lo más cómodo
será reiniciar el sistema en modo MS-DOS y utilizar el comando DEL,
ya que desde Windows no se podrá borrar el ejecutable al encontrarse
en uso por el sistema. Una vez seguidos todos estos pasos podremos
volver a encender la máquina que se encontrará entonces libre del
troyano.

Por último, de nuevo aconsejamos que bajo ningún concepto ejecuten
programas de dudosa procedencia, en especial de aquellos recibidos
por IRC, ICQ ó email.

Más información:
Webs oficiales de NetBus: http://netbus.org
http://netbus.nu


Bernardo Quintero



No hay comentarios:

Publicar un comentario en la entrada