.::Versioni NetBus::.

 

 

Il NetBus è un programma di backdoor, con la quale si può teleguidare un computer. Con NetBus, molto più semplice ed intuitivo di Back Orifice, si può ottenere facilmente l'IP Adress di un computer sulla quale agire.

 

 

1. ULTIMA RELEASE = NetBus Pro 2.0 Final
2. NetBus v.16

 

Per rimuovere un NetBus dal vostro computer, seguite la procedura:

Per togliere Netbus versione inferiore a 1.6 o Netsphere bisogna vedere con Regedit nell'indirizzo: (HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\

CURRENTVERSION\RUN), quale è il nome del file server che l'hacker vi ha installato, fatto ciò eseguire nome_del_file_server /remove dove nome_del_file_server è il nome del file che avete individuato, a questo punto cancellate il programma server.
Per eliminare Netbus per versioni da 1.6 a superiore potete fare la stessa cosa descritta sopra o scaricare il programma Netbus (dentro Astalavista lo trovate sicuramente) ed eliminarlo direttamente con il programma client tramite le opzioni. Altro modo per togliere netbus bisogna eliminare il collegamento al programma sospetto eliminando la chiave del registro regedit all'indirizzo sopra specificato in giallo, scriversi su un foglietto il nome del programma che in genere è "patch.exe", riavviare il sistema, cercare il file che in genere sta dentro c:\windows\system ed eliminarlo semplicemente tramite elimina di gestione delle risorse (o file manager), oppure ad esempio se è patch.exe fate: PATCH.EXE /REMOVE (questo è il modo più efficace e sicuro che esiste). Esiste anche un programma chiamato Netbast che nel caso in cui qualcuno prova ad intromettersi nel vostro sistema tramite netbus il programma manda in overlow il computer dell'hacker bloccandogli il computer.
Altro modo per eliminare NetSphere è collegandosi a se stessi cioè 127.0.0.1 con il client del programma poi selezionare Target > Server > Remove Server. Nel caso in cui sia un file server dotato di password allora vai su Start o Avvio della barra delle applicazioni, poi vai su esegui e insersci il nome del file server con relativo percorso, cioè se il file è nssx.exe allora bisogna inserire dentro esegui la riga di comando c:\windows\system\nssx.exe /visible poi dal menù del file server clicca su REMOVE.
Per eliminare Master's Paradise dovete vedere nel registro di sistema con Regedit alla chiave riportata sopra (HKEY_LOCAL_MACHINE\......\RUN) in genere viene infettato SYSEDIT.EXE, è un programma fornito con Windows per editare i file di sistema, se è infettato il vostro computer questo programma non edita più i file, comunque potrebbe trovarsi anche sotto altri nomi di file, eliminare il collegamento al programma dal registro e cancellare il programma server come descritto per gli altri due Backdoor precedenti (Back Orifice e Netbus).
Per evitare di essere spiati con Netbios invece dovete soltanto disattivare l'opzione netbios da CLIENT per reti Microsoft che sta dentro Rete del Pannello di controllo e se possibile disattivare Condivisione file e stampanti almeno quando ci si connette ad internet.
Per gli altri exploit (netbios è un exploit) non c'è nessun modo per evitare di essere penetrati, aggiornamenti molto frequenti dei software possono risolvere alcuni bug, tenere meno applicazioni possibili attive che utilizzano internet può servire a tenere le porte e i programmi dotati di bug utili agli exploit chiuse, al massimo aprire un programma alla volta, ma la penetrazione al sistema è solo questione di tempo, fare delle connessioni brevi e utilizzare firewall o proxy server non è utile anzi esistono vari bug sfruttati dagli exploit che usano proprio questi sistemi di sicurezza.
Per determinare l'infezione da Remote Explorer si posso fare due strade:

1. Eseguire l'applicazione Servizi che si trova in Pannello di Controllo, controllare se nella lista dei servizi c'è Remote Explorer.

2. Lanciare con Start Menu il programma TASKMGR.EXE e vedere se c'è IE403R.SYS o TASKMGR.SYS (non file exe, potrebbe però essere anche sotto altro nome a seconda della versione del virus di rete)

Se in uno di questi due casi risulta quanto detto siete infettati, Eliminare il file IE403R.SYS o TASKMGR.SYS non è utile a ripristinare il sistema.
Se invece avete commesso l'imprudenza di aprire il file HAPPY99.EXE (virus di rete che si diffonde attraverso la posta elettronica chiamato HAPPY99) senza prima esaminarlo con un software antivirus aggiornato, niente panico: esiste una procedura molto semplice per liberarsene.

• Uscite da Windows ed entrate in Ms-Dos (o aprite una sessione Dos)

• Andate nella directory System di Windows

• Eliminate i file: ska.exe - ska.dll - wsock32.dll

• Rinominate il file wsock32.ska in wsock32.dll

__tratto da Netstrike__