NetBus

NetBus
software
GenereAccesso remoto
SviluppatoreCarl-Fredrik Neikter
Ultima versione2.01 Pro
Sistema operativoMicrosoft Windows
Licenzashareware
(licenza non libera)
Sito webwww.tcp-ip-info.de/trojaner_und_viren/netbus_pro_eng.htm

NetBus o Netbus è un software shareware per il controllo remoto di un computer con sistema operativo di Microsoft Windows attraverso una rete.

NetBus è stato scritto in Delphi da Carl-Fredrik Neikter, programmatore svedese. Venne diffuso prima del suo fratello, Back Orifice. L'autore ha affermato che il programma era destinato a essere utilizzato come uno scherzo.

Tuttavia, il suo utilizzo ha avuto gravi conseguenze. Nel 1999, è stato utilizzato per scaricare, a sua insaputa, materiale pedopornografico sul computer di lavoro di uno studioso di diritto alla Università di Lund. Tremilacinquecento immagini sono state scoperte dagli amministratori di sistema, così lo studioso del diritto è stato accusato ingiustamente di pedopornografia. Ha perso la sua cattedra di ricerca presso la Facoltà, ed in seguito alla pubblicazione del suo nome ha lasciato il paese e ha dovuto sottoporsi ad una terapia specialistica per affrontare lo stress. Venne assolto da tutte le accuse verso la fine del 2004, poiché la corte ha ritenuto che fosse stato usato proprio il software NetBus per controllare il suo computer.[1]

Funzionamento

[modifica | modifica wikitesto]

NetBus è formato da due componenti, secondo l'architettura del client-server. La componente "server", deve essere installata ed eseguita sul computer da controllare in remoto. È un file exe con una dimensione di quasi 500 kB. Il nome e l'icona variano molto da versione a versione. Alcune sono del tipo : "Patch.exe" o "Sysedit.exe". Quando viene eseguito per la prima volta il "server" si auto installa nel computer host e modifica il Registro di sistema di Windows per partire automaticamente ad ogni avvio del sistema. Il server è un daemon in attesa di connessioni sulla porta 12 345 [2]. La porta 12 346 è utilizzata per altri compiti, così come la porta 20 034.

La componente, "client" è un programma separato che presenta un'interfaccia grafica, che consente all'utente di eseguire una serie di attività sul computer remoto. Esempi:

  • keylogger;
  • cattura dello schermo;
  • lancio di programmi;
  • file browsing;
  • arresto del sistema;
  • apertura/chiusura dello sportello per i dischi ottici;
  • tunneling.

Il client di NetBus è stato progettato per supportare i seguenti sistemi operativi:

La versione v1.70 di NetBus funziona anche sui sistemi operativi, Windows 2000 e Windows XP. Le componenti principali del protocollo di scambio tra il client e il server sono testuali. In questo modo il server può essere controllato da comandi manuali tramite una connessione TCP di tipo raw. Questa modalità è più complessa da gestire di quella grafica del client, ma consente di amministrare un computer con NetBus da ambienti operativi diversi da Windows, o quando non è disponibile il client originale. Ad esempio lo Screen Capture richiede la capacità di accettare dati binari, così come Netcat. In modo analogo, la maggior parte dei protocolli più comuni [3] possono essere usati su una connessione raw.

La versione di NetBus 2.0 Pro venne messa in commercio nel febbraio del 1999. Fu commercializzata come un potente strumento di amministrazione remota. Meno furtivo e pericoloso della precedente, ma esistono versioni speciali hacked che rendono possibile l'utilizzo per scopi illegali.

Tutte le versioni del programma sono state ampiamente utilizzate da script kiddie. Il programma fu reso popolare anche dall'uscita di Back Orifice. A causa delle sue minori dimensioni, Back Orifice può essere utilizzato per guadagnare l'accesso a un personal computer. L'attaccante può quindi utilizzare Back Orifice per installare il server NetBus sul computer di destinazione. La maggior parte dei programmi antivirus rilevano e rimuovono NetBus.

Esiste anche uno strumento chiamato NetBuster che si finge un server NetBus in esecuzione, ma manda NetBus in crash. Inoltre, un programma chiamato NetBusterBuster potrebbe essere utilizzato per mandare in "crash remoto" NetBuster.[senza fonte]

  1. ^ (SE) Mikael Ölander, Offer för porrkupp, in Expressen, 28 novembre 2004 (archiviato dall'url originale il 21 giugno 2009).
  2. ^ In alcune versioni, il numero di porta può essere modificata da remoto.
  3. ^ Internet Relay Chat protocollo POP3 SMTP, HTTP.

Collegamenti esterni

[modifica | modifica wikitesto]
  Portale Informatica: accedi alle voci di Wikipedia che trattano di informatica