Proteja seu micro contra o Netbus
O NetBus é um cavalo de Tróia (tem seu código escondido dentro de outro programa executável) que, assim como o Back Orifice, explora as falhas de segurança do Windows (95, 98 e NT). Uma vez instalado no computador, permite que um usuário remoto não-autorizado tenha total controle sobre a máquina da vítima.
Para se proteger do NetBus, valem algumas regras básicas, que devem ser seguidas por qualquer usuário de computador, esteja ele ou não conectado à Internet ou a uma rede local: ter um software antivírus instalado e sempre atualizado, não abrir arquivos executáveis (.exe, por exemplo) de fontes não conhecidas, não abrir arquivo algum ou disquete sem antes passar o antivírus. Todos os meses, os fabricantes de antivírus colocam em seus sites atualizações das bibliotecas de vírus (leia mais em Os vírus de computador).
O arquivo DAT 3110 do VirusScan 3.2.0, disponível para download, já detecta o intruso. Mas é possível detectar o NetBus sem um programa antivírus. Proceda da seguinte maneira:
1) No menu Iniciar, clique em Programas e depois em Prompt do MS-DOS
2) Na janela do MS-DOS, digite: netstat -an | find "12345"
3) Aperte a tecla Enter. Se não aparecer nada além de C:\ ou C:\WINDOWS, sua máquina está limpa
4) Caso o Netbus seja detectado, pode aparecer uma linha de comando com as seguintes características:
TCP 0.0.0.0:12345 0.0.0.0:0 LISTENING
O que fazer quando o NetBus for detectado?
Existem programas escritos especialmente para remover cavalos de Tróia. Um deles é o Puppet's Cleaner, que pode ser capturado em http://dynamsol.dyn.ml.org/puppet/thecleaner.html. O programinha é bastante eficiente, mas se a sua versão de Windows estiver em português, é melhor evitá-lo. Foram reportados conflitos do Puppet's Cleaner com versões do Windows em outros idiomas que não o inglês. Uma outra forma de remover o cavalo de Tróia é recorrer ao próprio NetBus, que tem uma função de desinstalar (uninstall).
1) Faça o download da versão do programa que é usada pelo administrador remoto em http://technet.found.net/netbus/ e instale o NetBus
2) Conecte-se ao provedor de acesso
3) Em Iniciar, Executar, digite WINIPCFG
4) Anote o endereço IP, algo na forma 200.300.100.1
5) Chame o NetBus, informe o endereço do passo anterior, peça "Server Admin" e então "Remove Server"
ATENÇÃO: esse recurso só funciona se o hacker que instalou o NetBus em sua máquina não tiver especificado uma senha. Se foi especificada uma senha, ela pode ser descoberta pelo Registry do Windows (em Iniciar, Executar, digite REGEDIT e verifique a chave "HKEY_CURRENT_USER\Patch\Settings\ServerPwd", que contém a senha). É aconselhável deixar esse procedimento a cargo de alguém que realmente entenda de computadores, pois a edição incorreta do Registry pode provocar danos ao sistema.
Remoção manual
O NetBus também pode ser removido manualmente. Em geral, esse recurso funciona mesmo que o NetBus tenha senha, só que é preciso ter bons conhecimentos de rede para executá-lo. Se você se enquadra na categoria de bons conhecedores, proceda da seguinte maneira:
1) Conecte-se ao provedor de acesso
2) Em Iniciar, Executar, digite WINIPCFG
3) Anote o endereço IP, algo na forma 200.300.100.1
4) Em Iniciar, Executar, digite TELNET, seguido do endereço anotado mais 12345. (Exemplo: telnet 200.300.100.1 12345)
5) Digite Password;1; dê enter
6) Digite RemoveServer;1; dê enter Pronto, seu computador está livre do NetBus