Что такое NetBus и как им пользоваться

Автор: content Четверг, Апрель 10th, 2008 Нет комментариев

Рубрика: Software

В этой статье я хочу рассказать о том, что такое NetBus, как им пользоваться и как его удалить с зараженного компьютера.
За возможный вред нанесенный этой статьей — автор статьи ответственности не несет, так как она написанна только для ознакомления с возможной опасностью!
NetBus — это вирус из серии backdoor. Вирусы этого типа попав на компьютер (та часть, которая попадает на компьютер жертвы называется сервером) и заразив его резервируют под себя порт и добавляют себя в автозагрузку (если им это указанно). После этих действий злоумышленник (владеющий клиентом или центром управления) может подключиться к этому компьютеру (если знает его IP-адрес, а в некоторых случаях требуется и пароль к серверу) и делать с компьютером, что душе угодно (это ограничивается лишь фантазией и возможностями вируса). Таким образом, сервер становится «глазами» и «руками» на компьютере жертвы.
Наибольшую известность получили два backdoor`а: NetBus и BackOrifice (BO). BO — более функциональный (его написал «Культ мертвой коровы»), но NetBus более прост в обращении. Для написания этой статьи я пользовался NetBus`ом 1.7 ( у NetBus`а 1.6 немного меньше функциональных возможностей, но в целом они очень похожи). Написан он (NetBus 1.6/1.7) в 1998 году, а его автор Carl-Fredrik Neikter (домашняя страница автора). NetBus 1.7 является бесплатным ПО и его можно скачать по адресу: http://web_hack.chat.ru/netbus1_7.rar (479 Kb). 1.7 — это не последняя версия! После нее уже вышло несколько версий 2.* Вторые версии NetBus`а являются уже не бесплатными и требуют регистрации, но достать S/N в Интернете не составит труда.
Теперь давайте вплотную приступим к изучению этой проги. Оригинальный пакет NetBus`а содержит в себе следующие файлы:
  • NetBus.exe — клиент (центр управления)
  • Patch.exe — сервер. Он написан на Inprise Delphi и поэтому весит 494 Kb
  • NetBus.rtf — описание NetBus`а автором (на английском)
Для того чтобы заразить компьютер, требуется запустить на компьютере жертвы сервер NetBus`а (Patch.exe). Запустить его можно, как обычную консольную программу или как CGI-приложение (из web-броузера). Сервер можно запускать со следующими ключами:
  • /noadd — для одноразового использования NetBus`а. Сервер только загружает себя только в оперативку и не копирует себя в папку с виндой и не добавляет свой ключ в реестр
  • /port:х — указывает на какой надо сесть порт (по умолчанию 12345), где х — номер порта. Этот ключ появился в версии 1.7
  • /pass:х — назначает пароль для доступа к серверу, где х — пароль
  • /remove — удаляет сервер из оперативной памяти и ключ в реестре для автозагрузки (сам сервер не удаляется из папки с виндой)
После обычно запуска Patch.exe (кликом мышки), сервер копирует себя в папку с Windows (NetBus написан под Windows NT/9x), создает там файл своей конфигурации Patch.ini и файл KeyHook.dll. Далее сервер добавляет ключ в реестр для своей автозагрузке при каждом запуском винды.

Ключ: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
Параметр: Patch
Значение параметра: C:\Windows\Patch.exe /nomsg

Стоит заметить, что если имя сервера имело другое название (например, cool.exe), то соответственно и файлы в папке с виндой будут иметь название cool, а значение в ключе реестра имя параметра изменится тоже на cool!!! Достойно внимания еще то, что если запустить сервер без ключей (/port или /pass), то в реестре создается ключ соответствующий имени сервера (например, HKEY_CURRENT_USER\PATCH\), а если с ключами то создается файл конфигурации Patch.ini (где хранится пароль, порт и т.д.).
Далее cервер открывает socket в режиме ожидания на указанном порту и ждет подключения клиента. Когда происходит попытка подключиться к этому порту, то NetBus сообщает, что это собственно он и говорит свою версию. И если пароль не назначен, то происходит коннект. Стоит обратить внимание и на порт 12346, который используется для служебных целей.
Для дальнейшего изучения этой рульной проги можете себя заразить (желательно с применением ключей), все ровно в конце статьи я расскажу, как избавиться от NetBus`а. Пишем в командной строке следующее:

patсh.exe /port:4444 /noadd

Эта команда одноразово заражает вашу машину. Доступ к серверу разрешается по 4444 порту. Если вы смелый(ая), то можете запустить NetBus без ключа /noadd (например, так сделал я). После этой команды NetBus загружается в оперативку (в Win9x среди процессов он не будет виден и придется его искать более умными прогами) и создает в папке с Windows два файла Patch.ini и KeyHook.dll. NetBus использует для связи двух компьютеров протокол TCP и не шифрует пакеты данных, как BO. Теперь запускаем клиент (NetBus.exe). В поле Host name/IP пишем localhost (то есть ваш хост). В будущем в это поле вы будете вписывать имя хоста или IP-адрес жертвы. В поле Port вписываем 44444 и нажимам на Connect! Если вы все сделали правильно, то должен произойти коннект. Для проверки нажмите Open CD-ROM. Теперь давайте вкратце разберемся с функциональными возможностями проги.
  • Host name/IP — здесь задается имя хоста или IP-адрес жертвы
  • Port — порт на котором висит сервер
  • Connect!/Cancel — подсоединиться/отсоединиться от компьютера
  • Scan! — просканировать диапазон адресов на наличие на них сервера NetBus
  • About — о программе
  • Memo — что-то вроде вашей записной книжки
  • Add IP — запомнить введенный IP-адрес
  • Del IP — удалить введенный IP-адрес
  • Server admin — администрирование сервером NetBus`а. Можно добавить/удалить IP-адреса с которых можно подсоединиться к серверу, выгрузить сервер из оперативки или удалить его
  • Open CD-ROM/Close CD-ROM — выдвинуть/задвинуть каретку сидюка. Можно задать интервал выезжания (поставив галочку возле in interval) и количество выездов (Function delay)
  • Show images — показать изображение (в BMP/JPG-формате). Требуется ввести его адрес
  • Swap mouse/Restore mouse — поменять/вернуть клавиши мыши местами
  • Start program — запускает программу по указанному адресу
  • Msg manager — позволяет отсылать на зараженный компьютер разные сообщения и присылать ответы на них
  • Screendump — делает снимок экрана и отсылает на компьютер с клиентом
  • Get info — немного информации и компьютере жертвы
  • Port redirect — перенаправление на произвольном компьютере произвольного порта
  • Play sound — проиграть WAV-файл
  • Exit Windows — позволяет отлогинить пользователя, перезагрузить или выключить комп
  • Send text — если в это время находятся активные поля для ввода текста, то туда вставится набранный текст
  • Active wnds — список активных окон. Можно удалить или сделать активными приведенные в списке окна
  • App redirect — перенаправление ввода-вывода консольного приложения на заданный порт
  • Mouse pos — установка мыши на координаты заданные в верхних полях
  • Listen — в появившемся окне выводятся все нажатия клавиш, и позволяет понажимать некоторые функциональные клавиши
  • Sound system — позволяет изменить звуковые настройки и прослушать музыку играющею на компьютере (d WAV)
  • Server setup — позволяет настроить сервер (например, поставить пароль)
  • Control mouse/Stop control — включить/выключить слежку за координатами мышки на компе жертвы
  • Go to URL — открыть назначенный URL в браузере назначенном по умолчанию
  • Key manager — назначает издавать звуки при нажатии клавиш, заблокировать/разблокировать выбранные клавиши или всю клавиатуру в целом
  • File manager — управление файловой системой компьютера с сервером (чтение/запись/удаление файлов).
Вот в принципе все возможности NetBus`а. В принципе их довольно много и в большинстве случаев для администрирования удаленного компа хватает. Некоторые функции приведенные выше отсутствуют в NetBus 1.6, но в целом все очень похоже.
Теперь давайте поговорим, как избавится от сервера заразившего компьютер. Для этого вначале залезем в реестр по ключу от куда может происходить автозагрузка сервера:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

Если там есть параметр Patch, то удаляем его, идем в папку с Windows и даем там команду:

patch.exe /remove

Эта команда выгрузит сервер из оперативки и удалит его из автозагрузки. Далее из это папки (с Windows) удаляются следующие файлы: patch.exe, patch.ini (его может не быть) и KeyHook.dll . Вот и все. Правда есть одно НО. Если у сервера. который заразил компьютер было иня не Patch.exe , а другого то в реестр и в папке с виндой надо искать записи с именем сервера заразившем комп.
Теперь я хочу дать совет, как обойти пароль на удаленном сервере (он не работает для версий 1.5x):
  1. Телнетимся к компьютеру (например, с помощью telnet.exe) с сервером на порт, где сидит NetBus (должна появится его версия и «x» означающий, что на сервере стоит пароль)
  2. Далее даем команду Password;1 (должно появиться сообщение Access;1). Этой командой сбрасывается пароль.
  3. Теперь вы можете установить через консоль новый пароль командой ServerPwd;xxx (xxx — новый пароль). А можем и удалить NetBus из памяти командой RemoveServer;1
На этом я хочу закончить статью. Если у вас еще есть дополнения к этой статье, то присылайте мне их.
Автор: Поярков Илья (Terabyte)

Оставить комментарий

Чтобы оставлять комментарии Вы должны быть авторизованы.

Похожие посты