IT-Academy Logo
Sign Up Login Help
Home - Betriebssysteme - Windows - Allgemein - Netbus Trojaner



Netbus Trojaner

Was ist Netbus und was kann man damit "anstellen".


Autor: Andreas Klauda (Merlin_1)
Datum: 04-04-2003, 07:01:46
Referenzen: keine
Schwierigkeit: Fortgeschrittene
Ansichten: 6934x
Rating: 9.5 (2x bewertet)

Hinweis:

Für den hier dargestellte Inhalt ist nicht der Betreiber der Plattform, sondern der jeweilige Autor verantwortlich.
Falls Sie Missbrauch vermuten, bitten wir Sie, uns unter missbrauch@it-academy.cc zu kontaktieren.

[Druckansicht] [Als E-Mail senden] [Kommentar verfassen]



Netbus Information
Was ist Netbus?

Netbus ist, in den falschen Händen, eine gefährliche Software, ein so genanntes "Trojanisches Pferd". Dieses Programm ermöglicht den Zugriff (über Netzwerk oder Internet) auf alle Dateien und auf viele Funktionen eines Computers, der unter Windows läuft, und das ohne dass der eigentliche Benutzer etwas davon bemerkt!

Wie funktioniert Netbus?

Die Software besteht aus zwei Teilen, einem Client (Details weiter unten) und einem Server. Der Client wird auf dem PC gestartet, der die Kontrolle übernehmen möchte. Es ist dann nur mehr notwendig, die IP-Adresse eines Rechners einzugeben, auf dem ein Netbus-Server läuft. Der Server ist eigentlich nur ein kleines Programm, welches sich als Service installiert und dann unauffällig im Hintergrund läuft und bei jedem Neustart des Rechners automatisch wieder gestartet wird. Der Server kann leicht als Attachment per Mail verschickt werden oder auf einer Webpage zum Download angeboten werden, wobei das Programm oft getarnt wird, z.B. als kleines Spiel oder als nützliche Utility. Man startet also ahnungslos ein Spiel, in dessen Installationsroutine sich auch der Netbus-Server befindet, und schon ist dem "Angreifer" Tür und Tor geöffnet, ohne dass der Benutzer etwas bemerkt! Es können sogar scheinbar sichere Passwörter (z.B. Secure Shell) im Klartext mitgelesen und übertragen werden! Dateien können gelöscht und manipuliert werden und noch vieles mehr!

Wie kann man sich gegen Netbus schützen?

Moderne Antiviren-Software (Norton Antivirus oder McAffee VirusScan) erkennen den Netbus-Server. Man sollte aber immer darauf achten, nur eine aktuelle Versionen zu verwenden, denn ein veralteter Viruskiller bietet keinen ausreichenden Schutz! Es besteht auch die Möglichkeit, nach dem Netbus-Server auf der Festplatte zu suchen. Beliebte Namen sind "patch.exe" oder "explore.exe", natürlich kann auch jeder andere Name verwendet werden, die Suche nach dem Namen ist daher sehr unzuverlässig, besser ist es, nach der Dateigröße zu suchen. Es gibt zwei Versionen von Netbus:

Version 1.60: 472.576 Bytes
Version 1.70: 494.592 Bytes

Eine Suche in der Registry kann ebenfalls Hinweise auf den Netbus-Server liefern. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] patch"="D:\\WINNT\\patch.exe /nomsg

Der Name "patch" kann dabei natürlich variieren, verdächtig ist das "/nomsg" am Ende des Filenamens! Auch eine Firewall kann nützlich sein, sie schützt zwar nicht vor der Installation des Netbus-Servers, aber sie überwacht Zugriffe auf den Rechner und kann diese auch sperren. Netbus verwendet als Default den Port 12345, dieser kann jedoch beliebig geändert werden, somit bieten Firewalls keinen optimalen Schutz vor Netbus!

Netbus

Details: (für alle, die es ganz genau wissen wollen):





Es gibt zwei Versionen (v1.60 & v1.70), die sich jedoch kaum unterscheiden:

Neu in Version 1.70 sind:
  • Freie Wahl des Ports
  • Umleiten von Ports und Anwendungen
  • Remote Konfiguration des Netbus-Servers
  • Ein schneller Portscanner (falls die IP des Remote-PC nicht bekannt ist)
Folgende Möglichkeiten bietet Netbus im Detail (die Funktionen beziehen sich alle auf den Remote PC):

Server Admin Zugriff einschränken auf bestimmte IPs, Beenden und Entfernen (permanent) des Netbus-Servers.
Open CD-ROM öffnet und schließt das CD-ROM des Remote PCs.
Show image zeigt ein beliebiges Bild (JPG & BMP), welches sich auf dem Remote PC befindet, an.
Swap Mouse vertauscht rechte und linke Maustaste.
Start program kann jedes Programm starten.
Msg manager öffnet ein Popupfenster mit beliebigem Text.
Screendump kopiert den aktuellen Bildschirminhalt in ein JPG-Bild und transferiert es zum HOST-PC.
Get info zeigt Informationen (Version und Standort) des Netbus-Servers.
Play sound spielt eine beliebte WAV-Datei ab.
Exit Windows beendet oder startet Windows neu.
Send text sendet einen beliebigen Text zur aktiven Anwendung.
Active wnds zeigt alle aktiven Fenster und kann diese (einzeln) schließen.
Mouse pos verändert die Position des Mauszeigers (X/Y Angabe).
Listen erlaubt es, alle Tastatureingaben mit zu verfolgen und zu speichern.
Sound system ermöglicht über ein angeschlossenes Mikrofon, ein Wavefile aufzunehmen und an den HOST-PC zu schicken.
Controll Maus überträgt die eigenen Mausbewegungen auf den Remote-PC.
Go to URL öffnet den Default Browser und geht zu einer angegebenen Internet-Adresse.
Key manager deaktiviert einzelne Tasten (täuscht defektes Keyboard vor).
File manager zeigt die Files aller Laufwerke, es können Files in beide Richtungen transferiert werden (auch Löschen ist möglich).


[back to top]



Userdaten
User nicht eingeloggt

Gesamtranking
Werbung
Datenbankstand
Autoren:04508
Artikel:00815
Glossar:04116
News:13565
Userbeiträge:16552
Queueeinträge:06245
News Umfrage
Ihre Anforderungen an ein Online-Zeiterfassungs-Produkt?
Mobile Nutzung möglich (Ipone, Android)
Externe API Schnittstelle/Plugins dritter
Zeiterfassung meiner Mitarbeiter
Exportieren in CSV/XLS
Siehe Kommentar



[Results] | [Archiv] Votes: 1147
Comments: 0