 |
|
Lo cierto es que Netbus es tan poco confiable como el Back Orifice y sus características hacen que la computadora en la que el programa servidor esté funcionando se convierta en una colección de agujeros de seguridad de los más variados modelos y colores. La versión Pro incorpora la posibilidad de funcionar bajo Windows NT y 2000 lo que lo hace potencialmente más peligroso teniendo en cuenta que el Windows NT es utilizado en la mayoría de los casos como sistema operativo para servidores de redes. Las versiones anteriores solo funcionaban bajo Windows 95/97/98. Netbus está lejos de ser un administrador remoto, aún cuando sus características pueden permitírselo, sino más bien un programa que originalmente fué creado para molestar personas y aún sigue siéndolo ya que consigo trae características que así lo demuestran. Esta nueva versión pareciera querer salirse del grupo de los troyanos ya que su instalación por defecto no es silenciosa, pero a no alegrarse, porque con un mínimo parámetro la instalación sí es furtiva. Las nuevas características de Netbus 2.0 Pro hacen que mantenga sus funcionalidades anteriores a las que se agregan varias de las que en su momento tenía el Back Orifice y Netbus no. Por ejemplo, captura de passwords, captura de video e imágenes, manejo total del disco rígido de la computadora infectada, capacidad de agregar módulos (plug-in's) etc. A éstas se suman algunas funcionalidades propietarias de Netbus como ser: ejecución de funciones en horarios programados, realizar chats, capturar audio, acceso por Telnet, y otras. Debido a sus funcionalidades que son más para molestar que para administrar, como por ejemplo, la toma del control del mouse, la inversión de sus botones, el cerrar y abrir la lectora de CD, etc., han hecho que varias personas crean que su computadoras (el hardware) andaba mal cuando en realidad se trataba del Netbus y sus operadores indeseables. Por eso es también importante conocer sus características para así reconocer cuándo nos encontramos ante la presencia de este troyano. El Netbus permite configurar al servidor con un password para permitir sólo el acceso a una persona en particular pero existen programas que permiten cambiarlos y por ende que terceras personas tomen control sobre la computadora. Por lo tanto jugar con estos programas o creerlos programas seguros no es algo recomendable. Habrá que investigar también si este programa tiene al igual que el Back Orifice un back door (puerta trasera) que le envíe información a sus creadores de las computadoras infectadas y de las computadoras de los usuarios del programa cliente. ALGUNAS PRECISIONES TECNICAS Netbus graba la siguiente información en el Registro de Windows: En la sección HKEY_CURRENT_USER\NetBus Server El puerto de funcionamiento: HKEY_CURRENT_USER \NetBus Server \General \TCPPort Para corroborar si el Server se encuentra funcionando en en nuestra computadora se puede usar mientras se está conectado el comando: netstat -an | find "LISTEN" Y comparar los puertos que aparecen con el número de puerto que encontramos en el Registro de Windows correspondiente al Netbus. El nombre del troyano por defecto es NbSvr.exe. Si está configurado para ejecutar automáticamente al inicio de Windows se encontrará una variable Netbus Server Pro en: HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion \RunServices El puerto por defecto utilizado es el 20034 pero es fácilmente cambiable. |
