|
Автор: Поярков
Илья (Terabyte)
В этой статье я хочу рассказать о том, что
такое NetBus, как им пользоваться и как его
удалить с зараженного компьютера.
За возможный вред нанесенный
этой статьей - автор статьи
ответственности не несет, так как она
написанна только для ознакомления с
возможной опасностью!
NetBus - это вирус из серии backdoor. Вирусы
этого типа попав на компьютер (та часть,
которая попадает на компьютер жертвы
называется сервером) и заразив его
резервируют под себя порт и добавляют
себя в автозагрузку (если им это указанно).
После этих действий злоумышленник (владеющий
клиентом или центром управления)
может подключиться к этому компьютеру (если
знает его IP-адрес, а в некоторых случаях
требуется и пароль к серверу) и делать с
компьютером, что душе угодно (это
ограничивается лишь фантазией и
возможностями вируса). Таким образом,
сервер становится "глазами" и "руками"
на компьютере жертвы.
Наибольшую известность получили два
backdoor`а: NetBus и BackOrifice (BO). BO - более
функциональный (его написал "Культ
мертвой коровы"), но NetBus более прост в
обращении. Для написания этой статьи я
пользовался NetBus`ом 1.7 ( у NetBus`а 1.6 немного
меньше функциональных возможностей, но в
целом они очень похожи). Написан он (NetBus
1.6/1.7) в 1998 году, а его автор Carl-Fredrik Neikter ( домашняя
страница автора). NetBus 1.7 является
бесплатным ПО и его можно скачать по
адресу: http://web_hack.chat.ru/netbus1_7.rar
(479 Kb). 1.7 - это не последняя версия! После
нее уже вышло несколько версий 2.* Вторые
версии NetBus`а являются уже не бесплатными
и требуют регистрации, но достать S/N в
Интернете не составит труда.
Теперь давайте вплотную приступим к
изучению этой проги. Оригинальный пакет
NetBus`а содержит в себе следующие файлы:
- NetBus.exe - клиент (центр управления)
- Patch.exe - сервер. Он написан на Inprise Delphi
и поэтому весит 494 Kb
- NetBus.rtf - описание NetBus`а автором (на
английском)
Для того чтобы заразить компьютер,
требуется запустить на компьютере жертвы
сервер NetBus`а (Patch.exe). Запустить его можно,
как обычную консольную программу или как
CGI-приложение (из web-броузера). Сервер
можно запускать со следующими ключами:
- /noadd - для одноразового
использования NetBus`а. Сервер только
загружает себя только в оперативку и не
копирует себя в папку с виндой и не
добавляет свой ключ в реестр
- /port:х - указывает на какой надо сесть
порт (по умолчанию 12345), где х - номер
порта. Этот ключ появился в версии 1.7
- /pass:х - назначает пароль для доступа
к серверу, где х - пароль
- /remove - удаляет сервер из оперативной
памяти и ключ в реестре для автозагрузки
(сам сервер не удаляется из папки с
виндой)
После обычно запуска Patch.exe (кликом
мышки), сервер копирует себя в папку с Windows
(NetBus написан под Windows NT/9x), создает там файл
своей конфигурации Patch.ini и файл KeyHook.dll.
Далее сервер добавляет ключ в реестр для
своей автозагрузке при каждом запуском
винды.
Ключ: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
Параметр: Patch
Значение параметра: C:\Windows\Patch.exe /nomsg
Стоит заметить, что если имя сервера
имело другое название (например, cool.exe), то
соответственно и файлы в папке с виндой
будут иметь название cool, а значение в
ключе реестра имя параметра изменится
тоже на cool!!! Достойно внимания еще то,
что если запустить сервер без ключей (/port
или /pass), то в реестре создается ключ
соответствующий имени сервера (например,
HKEY_CURRENT_USER\PATCH\), а если с ключами то
создается файл конфигурации Patch.ini (где
хранится пароль, порт и т.д.).
Далее cервер открывает socket в режиме
ожидания на указанном порту и ждет
подключения клиента. Когда происходит
попытка подключиться к этому порту, то
NetBus сообщает, что это собственно он и
говорит свою версию. И если пароль не
назначен, то происходит коннект. Стоит
обратить внимание и на порт 12346, который
используется для служебных целей.
Для дальнейшего изучения этой рульной
проги можете себя заразить (желательно с
применением ключей), все ровно в конце
статьи я расскажу, как избавиться от NetBus`а.
Пишем в командной строке следующее:
patсh.exe /port:4444 /noadd
Эта команда одноразово заражает вашу
машину. Доступ к серверу разрешается по 4444
порту. Если вы смелый(ая), то можете
запустить NetBus без ключа /noadd (например,
так сделал я). После этой команды NetBus
загружается в оперативку (в Win9x среди
процессов он не будет виден и придется
его искать более умными прогами) и
создает в папке с Windows два файла Patch.ini
и KeyHook.dll. NetBus использует для связи
двух компьютеров протокол TCP и не шифрует
пакеты данных, как BO. Теперь запускаем
клиент (NetBus.exe). В поле Host name/IP пишем localhost
(то есть ваш хост). В будущем в это поле вы
будете вписывать имя хоста или IP-адрес
жертвы. В поле Port вписываем 44444 и
нажимам на Connect! Если вы все сделали
правильно, то должен произойти коннект.
Для проверки нажмите Open CD-ROM. Теперь
давайте вкратце разберемся с
функциональными возможностями проги.
- Host name/IP - здесь задается имя хоста
или IP-адрес жертвы
- Port - порт на котором висит сервер
- Connect!/Cancel - подсоединиться/отсоединиться
от компьютера
- Scan! - просканировать диапазон
адресов на наличие на них сервера NetBus
- About - о программе
- Memo - что-то вроде вашей записной
книжки
- Add IP - запомнить введенный IP-адрес
- Del IP - удалить введенный IP-адрес
- Server admin - администрирование
сервером NetBus`а. Можно добавить/удалить IP-адреса
с которых можно подсоединиться к
серверу, выгрузить сервер из оперативки
или удалить его
- Open CD-ROM/Close CD-ROM - выдвинуть/задвинуть
каретку сидюка. Можно задать интервал
выезжания (поставив галочку возле in interval)
и количество выездов (Function delay)
- Show images - показать изображение (в BMP/JPG-формате).
Требуется ввести его адрес
- Swap mouse/Restore mouse - поменять/вернуть
клавиши мыши местами
- Start program - запускает программу по
указанному адресу
- Msg manager - позволяет отсылать на
зараженный компьютер разные сообщения и
присылать ответы на них
- Screendump - делает снимок экрана и
отсылает на компьютер с клиентом
- Get info - немного информации и
компьютере жертвы
- Port redirect - перенаправление на
произвольном компьютере произвольного
порта
- Play sound - проиграть WAV-файл
- Exit Windows - позволяет отлогинить
пользователя, перезагрузить или
выключить комп
- Send text - если в это время находятся
активные поля для ввода текста, то туда
вставится набранный текст
- Active wnds - список активных окон. Можно
удалить или сделать активными
приведенные в списке окна
- App redirect - перенаправление ввода-вывода
консольного приложения на заданный порт
- Mouse pos - установка мыши на координаты
заданные в верхних полях
- Listen - в появившемся окне выводятся
все нажатия клавиш, и позволяет
понажимать некоторые функциональные
клавиши
- Sound system - позволяет изменить
звуковые настройки и прослушать музыку
играющею на компьютере (d WAV)
- Server setup - позволяет настроить сервер
(например, поставить пароль)
- Control mouse/Stop control - включить/выключить
слежку за координатами мышки на компе
жертвы
- Go to URL - открыть назначенный URL в
браузере назначенном по умолчанию
- Key manager - назначает издавать звуки
при нажатии клавиш, заблокировать/разблокировать
выбранные клавиши или всю клавиатуру в
целом
- File manager - управление файловой
системой компьютера с сервером (чтение/запись/удаление
файлов).
Вот в принципе все возможности NetBus`а. В
принципе их довольно много и в
большинстве случаев для
администрирования удаленного компа
хватает. Некоторые функции приведенные
выше отсутствуют в NetBus 1.6, но в целом все
очень похоже.
Теперь давайте поговорим, как избавится
от сервера заразившего компьютер. Для
этого вначале залезем в реестр по ключу
от куда может происходить автозагрузка
сервера:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
Если там есть параметр Patch, то удаляем
его, идем в папку с Windows и даем там команду:
patch.exe /remove
Эта команда выгрузит сервер из
оперативки и удалит его из автозагрузки.
Далее из это папки (с Windows) удаляются
следующие файлы: patch.exe, patch.ini (его может не
быть) и KeyHook.dll . Вот и все. Правда есть одно
НО. Если у сервера. который заразил
компьютер было иня не Patch.exe , а другого
то в реестр и в папке с виндой надо искать
записи с именем сервера заразившем комп.
Теперь я хочу дать совет, как обойти
пароль на удаленном сервере (он не
работает для версий 1.5x):
- Телнетимся к компьютеру (например, с
помощью telnet.exe) с сервером на порт,
где сидит NetBus (должна появится его
версия и "x" означающий, что на
сервере стоит пароль)
- Далее даем команду Password;1 (должно
появиться сообщение Access;1). Этой
командой сбрасывается пароль.
- Теперь вы можете установить через
консоль новый пароль командой ServerPwd;xxx
(xxx - новый пароль). А можем и удалить NetBus
из памяти командой RemoveServer;1
На этом я хочу закончить статью. Если у
вас еще есть дополнения к этой статье, то
присылайте мне их.
Источник: http://whg.chat.ru | 
