R E M O V E N D O

O programa "Back Orifice", é um Remote Server Control, ou seja, permite controlar uma maquina, rodando o sistema operacional Windows 95/98, remotamente instalando a interface de recepção do próprio "Back Orifice".
    O programa tem entre 20 e 24 kb, se auto deleta após a execução e altera o registro do windows. O "Back Orifice" age como um backdoor para windows, instalando-se automaticamente na maquina do usuário e deixando o sistema pronto para conexões remotas com o cliente do "Back Orifice".
    O arquivo de auto-instalação do Back Orifice, certamente vira em forma de um trojan(cavalo de tróia), ou seja, virá ocultado em arquivos de execução simples como aquelas famosas janelas engraçadas onde os botões fogem quando tentamos clicar nesles. Enquanto o usuário se diverte com a piada, o BO se auto-instala.
     A máquina que estiver com o sistema "Back Orifice" instalado poderá ser controlada remotamente, com a possibilidade de execução de processos, controle do file system, controle de rede e controle dos processos da maquina. É possível ainda, logar todas as teclas digitadas da máquina para um arquivo, comprometendo acessos a sites seguros (cartao de credito, homebanking, etc).
    Normalmente, o Back Orifice, abre a porta 31337. Para verificar se essa porta se encontra aberta em sua máquina, realiza o seguinte procedimento:


    Aparecerá uma lista de portas usadas(estando vc on-line), se alguma das linhas mostrarem a porta 31337 (udp) em listening, certamente o backdoor default foi instalado.
    Para localizar o BO, faça o seguinte:


    Para eliminar o Back Orifice, faça o seguinte:


    Ao aparecer a relação de arquivos executaveis, procure por um que possua 124.928 bytes. Delete-o, pois este é o arquivo. Para deletá-lo use o comando deltree: deltree nomearquivo.exe

    Um modo mais fácil de eliminar o BO de sua máquina, porém não tão eficaz, é utilizar o programa Antigen, uma espécie de "Anti-Vírus" para Back Orifice.

 

    O NetBus, como o BO, pode ser propagado através de um trojan horse - um programa que tem função dupla: ele executa alguma tarefa para o usuário ver e, ao mesmo tempo, instala um outro programa no sistema sem que o usuário se dê conta.
    Além da maioria das funções do BO, o NetBus tráz seu próprio repertório de truques. Abrir e fechar a porta do seu CDROM, mostrar imagens, inverter os botões do mouse, executar programas, emitir sons quando certas teclas são utilizadas, controlar o cursor do mouse, redirecionar o browser para uma certa página e bloquear teclas são algumas das opções. Fica difícil acreditar que se trata de uma inocente ferramenta de manutenção remota como defendem alguns. Pessoalmente, não vejo outra função para inverter os botões do mouse de alguém que não a de pregar peças.
 Detectando o NetBus
    O NetBus se comunica através das portas 12345 e 12346 (lembrem, o BO utiliza a 31337 por default). Você pode ver as portas de seu computador que estão em uso através do comando C:\>netstat -na (utilize o MS-DOS Prompt) ; assim como descrito para o BO, verifique quais as portas que estão sendo usadas. Se vc encontrar a 12345 ou a 12346, fique certo de que sua máquina está infectada.
    Uma forma mais direta de verificar se seu computador está "infectado" pelo NetBus é através do comando "telnet localhost 12345" (digite-o em uma janela de DOS). Se a resposta for algo como "NetBus 1.53" ou "NetBus 1.60" você está vulnerável e precisa eliminar o NetBus de seu computador.
    A versão atual do NetBus é a 1.60, mas ainda está circulando por aí a 1.53. O NB é, na verdade, mais antigo do que o Back Orifice, mas parece que só agora as pessoas estão despertando para a possibilidade de utilização desse aplicativo como um back door.

 Localizando o NetBus

    O grande problema ao se tentar remover esse tipo de programa é que ele pode estar instalado em seu computador com qualquer nome. Uma das maneiras que você pode usar para tentar descobrir esse nome é executar o Editor de Registros do Windows (RegEdit.exe, ele geralmente fica no diretório do Windows e você pode executá-lo com um clique duplo).
    Na janela do Editor de Registros, expanda a pasta "HKEY_LOCAL_MACHINE", em seguida vá clicando nas pastas "SOFTWARE", "Microsoft", "Windows", "Current Version" e "Run". Lá você verá o nome do monstrinho! Sabendo do nome, localize-o em seu disco através da facilidade de busca do Windows Explorer (Menu Ferramentas, item Localizar, opção Arquivos ou Pastas)

 Removendo o NetBus

 1 - Versão 1.53


    Para remover a versão 1.53 você deve procurar por dois arquivos no seu sistema: SysEdit.exe e KeyHook.dll.Mas atenção! SysEdit.exe é apenas o nome default, isto é, ele pode ter um outro nome; portanto use o Editor de Registros. Uma outra forma de detectá-lo é pelo tamanho - exatos 473,088 bytes.
    Ao encontrar o arquivo, não o delete diretamente. Execute-o com o argumento /remove. Exemplificando: se você encontrou o arquivo no diretório C:\Windows com o nome default de SysEdit.exe, abra uma janela de DOS e digite C:\Windows\SysEdit.exe /remove
    O arquivo KeyHook.dll pode ser apagado normalmente. Feito isso use o telnet novamente para verificar se está tudo ok.

 2 – Versão 1.60


    Existem algumas ferramentas que já são capazes de localizar e remover o NetBus 1.60, mas você também pode tentar removê-lo manualmente. O nome mais comum do servidor NB é Patch.exe mas, novamente, ele pode estar em seu sistema sob outro nome.
Um vez que você tenha localizado o servidor NB, execute-o com o argumento /remove, exatamente como no exemplo para versão 1.53. Digamos que o diretório seja "C:\Windows\Temp\" e o arquivo se chame "SysLog.exe". Neste caso, você deve digitar: C:\Windows\Temp\SysLog.exe /remove
    Para testar se a remoção aconteceu da fato, tente o mesmo "telnet localhost 12345".

   

Fonte: TauVirtual Home Page

 

1