NetBus Trojan Horse

[Ed_Bunker]

Ciao, da diversi giorni ormai Norton rileva attacchi sotto il nome di "netBus Trojan Horse". Solitamente provengono da host italiani (Palermo, Roma, etc) e spesso da Telecom e Libero. Devo preoccuparmi ?!? Mi era gia' successo che Norton rilevasse attacchi del genere (Ma a "basso" rischio; low) poi, per un qualche mese pressoche' nulla mentre, da qualche giorno, e' tornato a rilevare attachi ad "alto" rischio.



thks

[Ed_Bunker]

AIUUUUUTO !!!!

[The Lenny]

Il netbus è il più vecchio trojan a larga diffusione che ricordo, insieme al BO..se fai ricerche su google, trovi una marea di tool x eliminarlo dal tuo pc..okkio, che può essere davvero dannifico, a seconda di come viene utilizzato!! in sostanza, qualcuno, da remoto, ha pieno accesso al tuo pc..qual'era la porta? finiva x 345(346 x l' X-bill ) se non ricordo male..
Firewall all'erta!!!
Faccimo i seri
Esistono alcuni strumenti utilissimi e gratuiti quali Tfak per l'individuazione e rimozione troyan oppure AVP System Watcher e AVP Network Agent per determinare quali processi nascosti stiano "girando sul pc" (Task nascosti) e quali porte siano in "listening". NetBus usa Tcp per la comunicazione e usa sempre le porte 12345 e 12346 per ascoltare. NETSTAT ti dira se NetBus è installato. A questo punto esegui telnet collegando localhost (127.0.0.1) sulla porta 12345. Se NetBus è installato sarà visualizzata una stringa simile a "NetBus 1.53" o "NetBus 1.60". Il protocollo di NetBus non è cifrato e i comandi hanno un formato semplice: nome del comando, seguito da un punto e virgola, seguito dagli argomenti separati da punto e virgola. Esistono due modi per rimuovere NetBus, a seconda della versione installata. Per le versioni 1.5x, le istruzioni per rimuovere NetBus sono situate sul sito members.spree.com/NetBus/remove_1.html . Per la versione 1,6, la rimozione è più semplice e puoi seguire le istruzioni su members.spree.com/NetBus/remove_2.Html. E' possibile altrimenti connettersi in telnet sul tuo Pc, porta 12345, e digitare i comandi: Password;1; [INVIO] RemoveServer;1 [INVIO] Sarai disconnesso e NetBus sarà disabilitato. Poi cancella Patch.Exe in C:\Windows\System.
Di metodi, cmq, ne esistono a bizzeffe!!

[Ed_Bunker]

Quote:

Originariamente inviato da The Lenny
Il netbus è il più vecchio trojan a larga diffusione che ricordo, insieme al BO..se fai ricerche su google, trovi una marea di tool x eliminarlo dal tuo pc..okkio, che può essere davvero dannifico, a seconda di come viene utilizzato!! in sostanza, qualcuno, da remoto, ha pieno accesso al tuo pc..qual'era la porta? finiva x 345(346 x l' X-bill ) se non ricordo male..
Firewall all'erta!!!
Faccimo i seri
Esistono alcuni strumenti utilissimi e gratuiti quali Tfak per l'individuazione e rimozione troyan oppure AVP System Watcher e AVP Network Agent per determinare quali processi nascosti stiano "girando sul pc" (Task nascosti) e quali porte siano in "listening". NetBus usa Tcp per la comunicazione e usa sempre le porte 12345 e 12346 per ascoltare. NETSTAT ti dira se NetBus è installato. A questo punto esegui telnet collegando localhost (127.0.0.1) sulla porta 12345. Se NetBus è installato sarà visualizzata una stringa simile a "NetBus 1.53" o "NetBus 1.60". Il protocollo di NetBus non è cifrato e i comandi hanno un formato semplice: nome del comando, seguito da un punto e virgola, seguito dagli argomenti separati da punto e virgola. Esistono due modi per rimuovere NetBus, a seconda della versione installata. Per le versioni 1.5x, le istruzioni per rimuovere NetBus sono situate sul sito members.spree.com/NetBus/remove_1.html . Per la versione 1,6, la rimozione è più semplice e puoi seguire le istruzioni su members.spree.com/NetBus/remove_2.Html. E' possibile altrimenti connettersi in telnet sul tuo Pc, porta 12345, e digitare i comandi: Password;1; [INVIO] RemoveServer;1 [INVIO] Sarai disconnesso e NetBus sarà disabilitato. Poi cancella Patch.Exe in C:\Windows\System.
Di metodi, cmq, ne esistono a bizzeffe!!

Grazie per le nfo. Facendo netstat, tra le porte occupate per connessioni TCP non c'e' ne' la porta 12345 ne' la porta 12346. Inoltre, facendo, 'telnet localhost 12345' oppure 'telnet localhost 12346' in risposta ottengo: "Impossibile aprire una connessione con l'host sulla porta 12345/12346: connessione non riuscita".

[The Lenny]

innanzitutto, hai guardato le pagine che ti ho segnalato?
poi...hai win aggiornato?
infine...hai fatto la scansione da modalità provvisoria, col ripristino disattivato?
se non ne esci così, prova su http://www.windowsecurity.com/trojanscan/
(scan on line)
Secondo me non ti applichi

[Ed_Bunker]

Quote:

Originariamente inviato da The Lenny
innanzitutto, hai guardato le pagine che ti ho segnalato?
poi...hai win aggiornato?
infine...hai fatto la scansione da modalità provvisoria, col ripristino disattivato?
se non ne esci così, prova su http://www.windowsecurity.com/trojanscan/
(scan on line)
Secondo me non ti applichi

Si win e' aggiornato... pero'... non ho fatto lo scan in modalita' provvisoria... hai ragione... non mi "impegno" abbastanza

Ora provo il comodo scan on line e... speriamo bene...

[Ed_Bunker]

Esito dello scan on line:

Starting scan at 19:12:30:755...
Scan Memory
Memory not infected
Scan folder: 'C:\', recursive
Unable to scan C:\System Volume Information - Accesso negato.
Finished scan at 19:25:59:758
Total number of files is 33296, number of infected files is 0
Average files per second is 41, average file size is 8845175

Nessun file infetto rilevato. Ok ?!?

[Fede]

non hai netbus ....
semplice

[The Lenny]

beh...in effetti le probabilità si sono ridotte moltissimo!!Alza un firewall (sygate 5.5, x es) e stai con gli okki aperti...magari son solo falsi allarmi!