Proteja seu micro contra o Netbus

O NetBus é um cavalo de Tróia (tem seu código escondido dentro de outro programa executável) que, assim como o Back Orifice, explora as falhas de segurança do Windows (95, 98 e NT). Uma vez instalado no computador, permite que um usuário remoto não-autorizado tenha total controle sobre a máquina da vítima.

Para se proteger do NetBus, valem algumas regras básicas, que devem ser seguidas por qualquer usuário de computador, esteja ele ou não conectado à Internet ou a uma rede local: ter um software antivírus instalado e sempre atualizado, não abrir arquivos executáveis (.exe, por exemplo) de fontes não conhecidas, não abrir arquivo algum ou disquete sem antes passar o antivírus. Todos os meses, os fabricantes de antivírus colocam em seus sites atualizações das bibliotecas de vírus (leia mais em Os vírus de computador).

O arquivo DAT 3110 do VirusScan 3.2.0, disponível para download, já detecta o intruso. Mas é possível detectar o NetBus sem um programa antivírus. Proceda da seguinte maneira:

1) No menu Iniciar, clique em Programas e depois em Prompt do MS-DOS

2) Na janela do MS-DOS, digite: netstat -an | find "12345"

3) Aperte a tecla Enter. Se não aparecer nada além de C:\ ou C:\WINDOWS, sua máquina está limpa

4) Caso o Netbus seja detectado, pode aparecer uma linha de comando com as seguintes características:

TCP 0.0.0.0:12345 0.0.0.0:0 LISTENING

O que fazer quando o NetBus for detectado?

Existem programas escritos especialmente para remover cavalos de Tróia. Um deles é o Puppet's Cleaner, que pode ser capturado em http://dynamsol.dyn.ml.org/puppet/thecleaner.html. O programinha é bastante eficiente, mas se a sua versão de Windows estiver em português, é melhor evitá-lo. Foram reportados conflitos do Puppet's Cleaner com versões do Windows em outros idiomas que não o inglês. Uma outra forma de remover o cavalo de Tróia é recorrer ao próprio NetBus, que tem uma função de desinstalar (uninstall).

1) Faça o download da versão do programa que é usada pelo administrador remoto em http://technet.found.net/netbus/ e instale o NetBus

2) Conecte-se ao provedor de acesso

3) Em Iniciar, Executar, digite WINIPCFG

4) Anote o endereço IP, algo na forma 200.300.100.1

5) Chame o NetBus, informe o endereço do passo anterior, peça "Server Admin" e então "Remove Server"

ATENÇÃO: esse recurso só funciona se o hacker que instalou o NetBus em sua máquina não tiver especificado uma senha. Se foi especificada uma senha, ela pode ser descoberta pelo Registry do Windows (em Iniciar, Executar, digite REGEDIT e verifique a chave "HKEY_CURRENT_USER\Patch\Settings\ServerPwd", que contém a senha). É aconselhável deixar esse procedimento a cargo de alguém que realmente entenda de computadores, pois a edição incorreta do Registry pode provocar danos ao sistema.

Remoção manual

O NetBus também pode ser removido manualmente. Em geral, esse recurso funciona mesmo que o NetBus tenha senha, só que é preciso ter bons conhecimentos de rede para executá-lo. Se você se enquadra na categoria de bons conhecedores, proceda da seguinte maneira:

1) Conecte-se ao provedor de acesso

2) Em Iniciar, Executar, digite WINIPCFG

3) Anote o endereço IP, algo na forma 200.300.100.1

4) Em Iniciar, Executar, digite TELNET, seguido do endereço anotado mais 12345. (Exemplo: telnet 200.300.100.1 12345)

5) Digite Password;1; dê enter

6) Digite RemoveServer;1; dê enter Pronto, seu computador está livre do NetBus

Todos os direitos reservados à studio art - e-mail: studio@zipmail.com.br