ENGLISH VERSION
 


NetBus - Backdoor für Windows 95/98 und Windows NT

Die "NetBus-Story" - eine Einleitung

NetBus ist ein Trojanisches Pferd ("Trojan Horse"), das in seiner Funktionalität "Back Orifice"entspricht, also eine Hintertüre ("Backdoor") öffnet, über die man via Netzwerk unbemerkt auf den Rechner zugreifen kann. NetBusist allerdings wesentlich bedienerfreundlicher und mächtiger als Back Orifice. Es wurde von dem Schweden Carl-Fredrik Neikter geschrieben, der die erste Version Mitte März 1998 veröffentlichte. Derzeit liegt das Programm in den Versionen 1.60, 1.70 und als NetBus 2.0 Pro vor. Alle Angaben dieser Seite beziehen sich - falls nicht anders angegeben - auf diese Versionen.

NetBus - Eigenschaften und Funktionsweise

NetBus besteht aus einem Client- ("netbus.exe") und einem Server-Programm (häufig: "patch.exe", bei Version 1.5x: "SysEdit.exe"), welches zur "Verwaltung" von Remote Rechnern eingesetzt werden kann. Version 1.60 arbeitet über den fest eingestellten TCP/UDP-Port "12345", ab Version 1.70 ist dieser variabel konfigurierbar.

NetBus 1.60 hat u.a. folgende Funktionalitäten:
  • Aufzeichnen von Tastatureingaben
  • Einschalten eines "Key-Clicks" und Abschalten bestimmter Zeichen
  • Maus-Steuerung (incl. Vertauschen von rechter und linker Maus-Taste)
  • Öffnen und Schließen der CD-ROM (ggf. in automatisch in Intervallen)
  • Generieren von "Fehler-", "Warn-" und "Info-Meldungen" (mit Anzeige der "Antwort")
  • Starten von Anwendungen
  • Anspringen von Web-Seiten (URLs)
  • Erstellen eines Bildschirm-Dumps (als BMP oder JPG)
  • Abspielen von wav-Dateien
  • Aufnahmen über ein angschlossenes Microphon
  • Manipulationen am Filesystem, wie z.B.
    • Kopieren
    • Löschen
    • Umbenennen
    • Suchen
  • Up- und Download von Files
  • Anzeigen und Schließen aller geöffneten Fenster
  • Auslesen von Systeminformationen
  • Rebooten des Rechners

Desweiteren kann von dem Remote-Rechner der Zugang zum Server über ein Password gesichert werden; außerdem ist ein De-Install ("Remove") des Servers über das Netzwerk möglich.

"NetBus 1.70" hat darüberhinaus folgende Funktionen:
  • Redirekt von Ports und Rechner
  • Redirekt der Ein-/ Ausgabe von Applikationen an einen definierbaren TCP/UDP-Port
  • Portscanner, der aktive NetBus-Ports auf über einen vorgegebenen Adreßbereich findet
  • Möglichkeit, Zugang auf vorgegebene Adressen zu beschränken

Weitere Informationen über Funktionalitäten und Installationsoptionen finden Sie in der engl. Orginalbeschreibung des Autors getrennt für Version 1.60 und Version 1.70.
 

NetBus erkennen und Gegenmaßnahmen ergreifen

Das Netbus-Server-Programm (kurz: NetBus Server) ist i.a. im System-Directory zu finden, so daß es beim Starten des Rechners automatisch gestartet wird (also: "\win95" bzw. "\winnt"). Der Name des Files kann variieren; der Default-Wert von Netbus 1.60 ist "patch.exe", von "Netbus 1.5x" "SysEdit.exe"; bei der Installation über das "Spiel" "whackamole.exe" (beinhaltet den Server von NetBus 1.53) wird auch der Name "explore.exe" verwendet. Inzwischen gibt es auch whackjob17.zip, das die Version 1.70 beinhaltet und den Port 12631 nutzt. Außerdem ist der Zugang durch Password geschützt (PW: "ecoli"). Der NetBus Server wird während der Setup-Routine des Spiels durch das File "game.exe" installiert; der eigentliche Server heißt wieder "explore.exe" und befindet sich im Windows-Hauptverzeichnis.
Erkennbar sind alle Module - normalerweise - an ihrem Icon NetBus-Icon.
Zum automatischen Starten wird ein Eintrag in der Registry angelegt; der zugehörige Schlüssel ist: "\HKEY_LOCAL_MACHINESOFTWARE\Microsoft\Windows\CurrentVersion\Run". Der entsprechende Eintrag ist i.a. mit der Option "/nomsg" versehen. Wird dieser Eintrag gelöscht, wird der NetBus-Server nicht mehr automatisch beim Hochfahren des Rechners gestartet.
Desweiteren wird noch eine DLL installiert, die alleine zwar keinen Schaden anrichten kann, dennoch gelöscht werden sollte; sie kann u.U. als auch Indiz für die Existenz des Netbus-Servers angesehen werden (wenngleich auch einige unsaubere Installationen diese Datei vergessen. Ihr Name: "KeyHook.dll"; sie dient u.a. dazu, die Tastatureingabe zu loggen und an den Client zu übertragen.
 
Das Entfernen des NetBus Servers geht auch automatisch über das Client-Programm selbst (das Sie ja hier downloaden können). Wählen sie hierzu bitte den Punkt "Server Admin" - "Remove Server" Sie können auf diese Weise natürlich auch den Server auf Ihrem eigenen Rechner deinstallieren. Wenn sich das Client und das Server-Programm auf demselben Rechner befinden, müssen Sie als Rechner-Name nur "localhost" oder die IP-Adresse 127.0.0.1 eingeben.
 
NetBus (bis Version 1.70) wird, nach einem Test von Sniper, auch von Norton Antivirus Version 4.0 mit "AVP engine 3.0" und "F-Prot Engine 3.0 (August Update)" erkannt und beseitigt.
 

NetBus: Rechtliche Fragen, FAQ

Da diese Fragen für alle Backdoor-Programme dieselben sind, habe ich sie auf einer eigenen Seite zusammengefaßt. Bitte lesen Sie diese auch, bevor Sie mir eine E-Mail senden!
 

NetBus - Dateien (lokaler Download):

NetBus Programm(e) V. 1.60 Client + Server + Info (zip-File)
NetBus Programm(e) V. 1.70
Client + Server + Info
whackamole-Spiel installiert den NetBus Server (V 1.53) unbemerkt, den Install-Shield des Spieles
whackjob17.zip installiert den NetBus Server (V 1.70) unbemerkt - weitere Informationen (in Englisch) auf Ecoli's Windows Security Page.


Links:

Hinweis: Inzwischen wird es immer schwere, aktuelle Seiten zum Thema Netbus im Internet zu finden. Selbst der Author ist komplett aus dem Internet verschwunden (wenn jemand seine neue Homepage kennt, würde ich mich sehr über eine E-Mail freuen!!!). Deswegen habe ich bei der letzten Aktualisierung dieser Seite die Anzahl der externen Links sehr stark verringern müssen. Glücklicherweise existieren jedoch (noch) die Seiten mit den "Netbus-Anti-Tools"!

NetBus und andere Trojaner Die Orginals-Seite des Authors (www.netbus.org) gehört inzwischen anscheinend nicht mehr C.F. Neikter, sondern einer (anderen) Firma
BOClean "Entseuchungs-Programm" für Back Orifice und NetBus
NetBuster Erkennt und beseitigt NetBus. Außerdem gaukelt es einem potentiellen Eindringling in einer interaktiven Session einen NetBus-Server vor, so daß man Informationen über den Eindringling beschaffen kann.
Vorsicht: es gibt hierfür ein Gegenprogramm, das den NetBuster wirkungslos werden läßt, den NetBuster Buster.
Weitere Informationen in der BUGTRAQ-Datenbank

 
Informationen und Links zu weiteren Trojanischen Pferden finden Sie auf meiner "Trojaner Seite".
 


Bei Fragen und Problemen posten Sie bitte in meinem Internet- und Security-Forum.
In besonderen Fällen erreichen Sie mich auch per E-Mail!
Und bitte vergessen Sie nicht, sich in meinem Gästebuch einzutragen?

Homepage [zurück zur Trojaner-Seite]

(Diese Seite wurde erstellt am 5.10.1998,
der letzte Update fand statt am 8.2.2004)


Dieses Angebot ist erreichbar über http://www.tcp-ip-info.de, http://www.trojaner-und-sicherheit.de, http://www.internet-und-sicherheit.de und http://www.tcp-ip.de.gg