Está en la página 1de 4

NETBUS

HISTORA
NetBus se escribi en Delphi por Carl-Fredrik Neikter, un programador sueco, en
marzo de 1998. Entr en circulacin antes que Back Orifice, fue liberado en agosto de
1998. El autor afirm que el programa estaba destinado a ser usado para bromas, no
para irrumpir ilegalmente en los sistemas informticos. Traducido del sueco, el nombre
significa "NetPrank". (broma en red)

DEFINICIN
Es un troyano que forma parte de un programa empleado para la administracin
remota de sistemas, desde otros ordenadores. Permite que un usuario (el atacante)
acceda a los recursos del ordenador correspondiente de otro usuario (atacado), a
travs de una conexin IP (bien a Internet o el acceso a una Intranet).

NETBUS.160 CONSTA DE DOS ELEMENTOS:


Programa cliente
Que es instalado en el ordenador desde el que se desea realizar el ataque.
El cliente es un programa separado de la presentacin con una interfaz grfica que
permite al usuario realizar una serie de actividades en el equipo remoto, como pueden
ser:

Registro de las pulsaciones del teclado (Keylogging)

Inyeccin de teclas de manera remota

Captura de pantalla, permitiendo descargarla al cliente

Ejecucin remota de aplicaciones

Navegacin por los archivos y carpetas del servidor

Apagado del sistema

Abrir / cerrar la bandeja del CD

Tunneling

Programa servidor

Que se instala (automticamente) en el equipo al que se pretende atacar,el tamao de


archivo es de casi 500 KB. El nombre y el icono han variado mucho de versin a
versin. Nombres comunes eran "Patch.exe" y "SysEdit.exe". Cuando se inicia por
primera vez, el servidor se instala en el ordenador host, incluyendo la modificacin de
Windows del Registro para que se inicie automticamente en cada inicio del sistema.
El servidor atiende las conexiones en el puerto 12345 (en algunas versiones, el puerto
es configurable), el puerto 12346 se utiliza para ciertas tareas, as como el puerto
20034

FUNCIONES

Host name /IP: aqu debers introducir el IP de la vctima y luego presionas Connect!.
Server admin: cierra el servidor.
Open CD-Rom: abre el CD-ROM.
Show image: te permite mostrarle una imgen en formato JPG.
Swap mouse: intercambia los botones del ratn.
Start program: ejecutas un programa.
Msg manager: envas mensajes de error de Windows.
Screendump: captura lo que est en pantalla de la vctima y nos lo enva en formato
JPG.
Get info: informacin sobre el login del servidor.
Play sound: ejecutas cualquier archivo de sonido que este en formato WAV.
Exit Windows: cierras Windows, por lo que desconectas al usuario.
Send text:envias texto
Active winds: te muestra los programas que se estn ejecutando.
Mouse pos: permite cambiar la posicin del puntero del mouse.
Listen:te muestra lo que la otra persona est tecleando.
Sound System: graba el sonido mediante el micrfono y nos lo enva en formato WAV.

Server setup: nos permite ponerle un password al servidor de esta forma slo puede
introducirse en la mquina el que conozca dicho password. Incluso nos avisa por email cuando la vctima est conectada.
Control mouse: maneja el puntero del mouse.
Go to URL: se ejecuta el navegador y abre la pgina que le hemos especificado.
Key manager: desactiva las teclas del teclado que le indiquemos.
File manager: no muestra la unidad C y nos permite subir o bajar ficheros e incluso
borrarlos.

CARACTERSTICAS
Se considera de peligrosidad muy baja.
Afecta a ordenadores con Windows.
Posee caractersticas de gusano.
Se introduce en el ordenador a travs del correo electrnico, Internet, disquetes, etc,
y se reproduce insertando su cdigo en otros ficheros o programas. Sus acciones
pueden resultar molestas o dainas para el usuario infectado.
Su objetivo fundamental es colapsar los ordenadores y las redes, impidiendo el
trabajo a los usuarios.
Efectos
Una vez que el programa servidor se instala en el equipo afectado, Netbus.160 abre
una serie de puertos de comunicacin, a travs de los cuales recibe rdenes del
programa cliente.
Permite a un hacker llevar a cabo las siguientes acciones en el ordenador afectado:
Realizar un volcado de la pantalla donde se ejecuta el servidor.

SNTOMAS VISIBLES:
Algunos de los indicios de la presencia de este troyano en un ordenador son los
siguientes:

La bandeja del CD-ROM se abre y se cierra alternativamente, sin razn aparente.


Se invierten las funciones de los botones del ratn. Es decir, el botn derecho del
ratn adquirir las funciones que le corresponderan al botn izquierdo y viceversa.
Se ejecutan programas sin intervencin del usuario.
Se muestran imgenes en pantalla, por sorpresa.
Se reciben mensajes de texto.
El puntero del ratn se mueve solo.
Se cierran las ventanas que se encuentren abiertas, involuntariamente.
Se reproducen sonidos, inesperados.

CMO SABER SI TENGO NETBUS.160?


Para verificar con exactitud si Netbus.160 ha afectado su ordenador, dispone de las
siguientes opciones:

Realizar un anlisis completo del ordenador con su Panda Antivirus, despus de


verificar que est actualizado. Si no lo est y usted es cliente registrado de Panda
Security, actualcelo pulsando aqu.
Chequear el ordenador con Panda ActiveScan, la herramienta gratuita de anlisis
online de Panda Security, que detectar rpidamente todos los posibles virus.

CMO ELIMINAR A NETBUS.160?


Borre la entrada que Netbus.160 ha creado en el Registro de Windows:
Haz click en INICIO - Ejecutar - y escribes Regedit - una vez abierto se va ruta :
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run.
Busca nombres "Patch.exe" y "SysEdit.exe" y se debe borrar.
Reinicie el ordenador.
Finalmente, para eliminar cualquier rastro de Netbus.160,se vuelva a realizar un
anlisis completo de su ordenador con Panda Antivirus o Panda ActiveScan.

También podría gustarte