valeu killer bios paiper !
< cellspacing="0" cellpadding="0" width="100%" border="0">
1. introdução= semelhante ao back orifice, o netbus é uma ferramenta que pode ser utilizada como um sistema de administração remota para os ambientes operacionais windows 95, windows 98 e windows nt.
É composto por um programa que atua como servidor e um programa que atua como cliente, permitindo conexões remotas mesmo através da internet, utilizando-se do protocolo tcp.
por suas inúmeras características e facilidades, o netbus passou a ser utilizado principalmente por hackers que pretendem manter controle sobre as máquinas de suas vitimas, sem serem notados/detectados.
2. comprometimento= o servidor netbus é auto-instalável indicando que na primeirá ução a maquina passará a ser comprometida.
o netbus permite um amplo controle sobre o servidor, apresentando inúmeras características das quais se destacam: - auto-instalável - auto utável (com o boot do windows) - permite iniciar/utar qualquer aplicativo - permite fechar/terminar qualquer aplicativo - permite rebootar o servidor - pode desconectar usuários - permite enviar caracteres para aplicativos ativos - permite capturar o que esta sendo digitado no computador servidor - permite capturar a tela (screenshot) do computador servidor - retorna informações gerais sobre o computador - permite realizar upload de arquivos para o servidor - permite realizar download e deleções de qualquer arquivo do servidor - permite capturar o som de microfones instalados no servidor - possui esquemas de proteção e validação de acessos através de senhas - não aparece na task list do windows além disso, o netbus faz uso de senhas para permitir o controle de acessos ao servidor netbus. a string que contém a senha que o cliente envia para o servidor é semelhante à linha abaixo: password;0;my_password
no entanto, detectou-se a presença de um backdoor no netbus que permite a qualquer cliente estabelecer conexão com o servidor sem a necessidade de se utilizar uma senha. o cliente pode conectar-se sem autenticação bastando substituir o valor do segundo parâmetro da string de conexão acima de "0" para "1".
3. detecção= por default, o servidor netbus chama-se patch.exe. no entanto pode perfeitamente ser renomeado para qualquer outro nome. o netbus utiliza tcp para estabelecer o envio/recebimento de pacotes e dados, permanecendo ativo nas portas 12345 e 12346 aguardando por conexões de clientes. como primeiro passo, é possível verificar se essas portas estão em uso por algum serviço. para tanto utiliza-se o comando 'netstat' conforme exemplo abaixo: c:>netstat -an | find "1234" tcp 127.0.0.1:12345 0.0.0.0:0 listening em seguida, é possível identificar que serviço esta ativo na porta apresentada pelo netstat. para tanto utiliza-se o comando telnet, conforme exemplo abaixo: c:>telnet 127.0.0.1 12345 se o netbus estiver instalado e aguardando por conexões nesta porta, a seqüência abaixo irá aparecer na janela do telnet: 'netbus 1.53' ou: 'netbus 1.60' alem desse procedimento, é possível examinar o registro do windows a procura de algumas chaves que podem ser criadas pelo programa quando de sua instalação. ute o 'regedit' e faca uma busca pelas chaves abaixo: hkey_local_machinesoftwaremicrosoftwindowscurrentversionrun[nome do netbus] hkey_current_userpatchsettingsserverpwd
a primeirá chave indica que o netbus esta configurado para ser inicializado automaticamente a cada boot do sistema. já a segunda chave indica qual a senha (em formato texto puro) que esta sendo utilizada para validar conexões.
4. removendo o netbus= indica-se dois procedimentos básicos e simples para remoção do netbus: 1) fazer uso de uma opção do servidor netbus que automaticamente deleta o utável, conforme exemplo abaixo: c:>nome_do_netbus_server.exe /remove 2) utilizar o cliente do netbus para fazer essa remoção. basta conectar-se ao servidor (podendo ser localhost), selecionar "server admin" e em seguida "remove server". no entanto, notamos que em alguns casos as duas opções falharam ao limpar o registro do windows. logo, indicamos que o processo de remoção seja feito manualmente deletando-se o utável e limpando-se o registro eliminando-se as chaves criadas pelo netbus.
Assinar:
Postar comentários (Atom)
Nenhum comentário:
Postar um comentário