Virus Netbus.G

Efectos:

TrjNetbus.170 provoca los siguientes efectos en el ordenador afectado:

• Abre una serie de puertos de comunicaciones.
• Permite que un hacker acceda a los recursos del ordenador afectado. Este atacante podrá:
  -Abrir y cerrar la bandeja del CD-ROM.
  -Intercambiar las funciones correspondientes a los botones del ratón.
  -Mostrar imágenes.
  -Ejecutar programas.
  -Enviar mensajes.
  -Realizar un volcado de la pantalla donde se ejecuta el servidor.
  -Ejecutar archivos de audio.
  -Grabar sonidos desde el micrófono.
  -Capturar pulsaciones de teclado que el usuario atacado realiza.
  -Desactivar ventanas en el equipo servidor.
  -Obtener información sobre el usuario.
  -Enviar y recibir ficheros.

El hacker controla desde la siguiente consola las acciones a realizar en la máquina atacada. Puede incluso indicar la repetición a intervalos de alguna de estas acciones:

Metodo de infección:

TrjNetbus.170 consta de dos módulos: el programa servidor, que se instala en el ordenador atacado y el programa cliente, instalado en el ordenador desde el que se realiza el ataque.

TrjNetbus.170 sigue el siguiente proceso de infección:

• Busca la dirección IP de la máquina que pretende atacar. Si la desconoce, puede rastrear un rango de direcciones IP, hasta dar con la correcta.
• Instala el programa servidor en la máquina atacada. Para hacerlo utiliza el puerto TCP 12345.
• Copia en el directorio de Windows la librería de enlace dinámico KEYHOOK.DLL, necesaria para que el programa servidor funcione correctamente.
• Crea la siguiente entrada en el Registro de Windows:
  HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  Crea esta entrada para conseguir que el troyano se ejecute cada vez que arranque Windows. Sin embargo, TrjNetbus.170 no crea siempre esta entrada.
• Si el hacker decide no modificar el Registro, el troyano no se ejecutará cada vez que arranque Windows. El atacante tendrá la opción de ejecutarlo de forma remota mediante la utilización de parámetros como los siguientes:
  /remove: Al ejecutar el servidor, se elimina la entrada del Registro y el programa servidor se descarga de memoria (deja de ser residente).
  /pass: Permite proteger el programa servidor, mediante una contraseña. De esta forma, sin conocer dicha contraseña, será imposible conectarse de forma remota al ordenador en el que el programa servidor se encuentra instalado.
• A continuación, el hacker puede configurar el programa servidor. Así, puede seleccionar otro puerto a través del que establecer la comunicación, elegir una clave de acceso a este programa servidor, hacer que el servidor le envíe un correo electrónico cada vez que se inicie el ordenador atacado, etc. Todas estas acciones, el hacker las realiza desde la siguiente consola:
  
• Por último, el atacante puede decidir desde qué direcciones IP se puede acceder al programa servidor, descargarlo en memoria e, incluso, desinstalarlo por completo.

Metodo de propagación:

TrjNetbus.170 no utiliza ningún método específico para difundirse. De hecho, puede utilizar cualquiera de los métodos de propagación normalmente utilizados por los virus: disquetes, CD-ROM, mensajes de correo electrónico con ficheros adjuntos infectados, descargas de Internet, transferencia de ficheros a través del FTP, etc.