NetBus

 

Ovaj program je napisao Carl-Frederik Neikter (Svedska). Pojavio se u martu 1998 godine i vrlo brzo se prosirio po Internetu. Pripada grupi trojanskih konja kao i podgrupi daljinskih terminal programa (slican je poznatijem programu Back Orifice).

Ovaj program djeluje na racunare na kojima je instaliran Windows 95/98. Iako mozete naici i na suprotne tvrdnje na Internetu, NetBus je funcionalan (gotovo 100%) i na sistemima koji rade pod Windows NT 4.0 u obije varijante: server i workstation (provjerio autor ovih redova po sistemu: "cuj cit'o, ja po njoj hod'o").

Sastoji se od dva dijela: server i klijent (terminal). Da bi funkcionirao ovaj program mora se server dio programa instalirati na racunar koji se zeli napasti. To se cini tako sto se navede korisnika na tom racunaru da aktivira program vjerujuci da je ti neka igra, slika ili slican prilog uz e-mail.

Siri se putem e-mail poruka "attachments" a takodjer i poruka koje se salju putem ICQ i slicnih programa za direktnu komunikaciju putem Interneta. Kada zrtva primi poruku i otvori je naci ce prikacen jedan fajl tzv. server koji moze imati razlicite nazive: patch.exe, picture.exe i slicno. Kliknuvsi na fajl izvrsi se aktiviranje i njegova instalacija na hard disk kompjutera. Time je teza polovina posla posla obavljena. Fajl se sakrije na hard disku i cak mijenja ime tako da se moze zvati i explor.exe, sisedit.exe i slicno.

Ovaj fajl ima i svoju ikonu (lijevo) koja moze naravno nositi i razna druga imena a nije sigurno da je vidljiva u svim slucajevima.

Njegova uloga je da omoguci komunikaciju sa zrtvinim kompjuterom vrseci funkciju servera. Posiljalac poruke tj. napadac treba samo da sazna zrtvin IP broj (neznatan problem za prosjecnog poznavaoca racunara). Taj broj se obavezno pojavljuje u ICQ razgovorima, prilikom postavljanja poruka na razne oglasne ploce/diskusione grupe, chat servere i slicno. Kada sazna IP broj napadac ga upise u drugi dio programa tzv terminal (klijent) i preuzima komandu nad racunarom zrtve. Terminal program ima slijedeci izgled:

Putem njega se mogu kontrolisati slijedece funkcije na tudjem racunaru: otvaranje/zatvaranje CD, prikazivanje slika na tudjem racunaru (BMP/JPG) po zelji, kontrola misa, startanje programa, prikazivanje razlicitih poruka (koje sve izgledaju kao da su Windows sistemske poruke), iskljucivanje Windows programa i samog racunara, manipulacija fajlovima, snimanje tastature (saznavanje sifri i sl.), snimanje ekrana, manipulacija zvucnikom, prisluskivanje i snimanje razgovora u blizini racunara putem ugradjenog mikrofona itd.

Iz gore navedene liste se vidi da je program vrlo stetan i moze imati vrlo neugodne konsekvence za zrtvu.

Otkrivanje:

  • NetBuster za Win 95/98/NT je specijalno razivijen program koji ima dvije funkcije: prva otkriva NetBus (u koliko se nalazi na vasem racunaru) i dezaktivira ga a druga daje mogucnost da se eventualni napadac otkrije i poduzmu mjere protiv njega. Ovdje saznajte vise o programu NetBuster.

  • koristenjem Windows Explorer (nije Internet Explorer) opcija Tool / Search pretraziti hard disk kako bi se fajl otkrio i uklonio. Najbolje iz DOS-a.

  • koristenjem programa za uklanjanje trojanskih konja koji se nalazi na adresi: http://dynamsol.dyn.ml.org/puppet/index.html

  • koristenjem regedit.exe (samo za vrlo iskusne) otkriti ime hajvana (tip: imeprograma.exe) u dijelu registra:
    \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    a zatim iz start / run komandovati : "imeprograma.exe/remove"

  • Pronaci na Internetu terminal (klijent) program NetBus.exe, aktivirati ga (pojavi se gornja slika) i kliknuti na dugme (vidi sliku) "server admin" a zatim "remove server" dugme

  • vrlo vjerovatno da ima i standardnih antivirus programa koji ovo rade automatski sto je lako provjeriti. Specijalni programi postoje: http://www.nsclean.com/supboc.html , a ima i mnogo drugih na trzistu.

Kako se zastititi?

  • Ne otvarajte razlicite dodatke zakacene uz e-mail poruke od osoba koje ne poznajete. Ne primajte "slike" sagovornika putem ICQ, "chat" kontakata i slicno.

  • Ne instalirajte igru "Whackamole" jer moze sadrzavati NetBus server dio.

  • Koristite uvijek antivirus programe sa svjezim datotekama . Imajte u vidu da se novi virusi pojavljuju svaki dan pa vas jedan program cija je datoteka stara ne stiti vec daje laznu sigurnost.

  • Don't panic!

PS

U koliko imate naviku da se "dopisujete" putem raznih oglasnih ploca / diskusionih grupa imajte u vidu da se sve vase poruke oznacavaju vasim IP brojem (za manje upucene to je vasa trenutna adresa na Internetu).

Poruke uvijek ostavljajte na kraju posjete doticnom sajtu a ne na pocetku jer vam neko kome se vase misljenje ne dopada moze na vasu adresu poslati vrlo neugodnu "poruku" koja dovodi do ostecenja racunara, otkrivanja identiteta, kodova koje koristite za razne aktivnosti i sl. Postoji vise sajtova koji su na zlu glasu zato sto putem njih grupice zlobnika napadaju sve posjetioce sa cijim se misljenjem ne slazu. O ovome jedne druge prilike detaljnije.

Take care and don't panic!

Nazad | Index


6. maja 1999

   
 

 

Copyright : 1996 - 2006 Siba´s Friends and Relatives Worldwide Inc.