1
El Netbus es un presente griego
Como otros troyanos modernos, este software creado por un programador sueco permite a un extraño controlar nuestra PC a distancia a través de Internet.Eliminarlo no es difícil
1 minuto de lectura'
Timeo danaos et dona ferentes, exclama Laocoonte en La Eneida (II, 49). Es decir: "Temo a los griegos incluso cuando hacen ofrendas". Se refería, claro, al Caballo de Troya, que los griegos habían abandonado en la playa como obsequio para los dioses y que Troya, imprudente, llevaría intramuros. En el interior del enorme equino de madera se agazapaban las hordas griegas, que saldrían luego de las celebraciones y la generosa distribución de alcohol.
En computación, un Caballo de Troya ( troyano a secas, en la jerga) es exactamente eso: un programa que parece provechoso y que, sin embargo, hará atrocidades en nuestro equipo. No es exactamente un virus, porque no se replica y rara vez se autoejecuta. Uno mismo, engañado como el rey Príamo, lo acepta y lo hace correr.
La lista de troyanos que permiten a un extraño manejar nuestra computadora a través de la Internet es bastante extensa e incluye nombres como Cult of the Dead Cow´s Back Orifice , BackDoor 2.00 , 2.01 y 2.03 , DeepBO , Devil 1.3 , Dmsetup , Enigma´s Setup Trojan , Girlfriend , Gjamer , Hookdump , Master´s Paradise , Mayhem , scripts maliciosos (guiones) del mIRC , Phaze-0 1.1 y Phineas , entre otros.
El más célebre es el Netbus , del que ya existen varias versiones. Puesto que está muy difundido y es más o menos arquetípico, hablaré específicamente de él.
Como otros backdoors (así, en la jerga), el Netbus aprovecha ciertos defectos de seguridad de Windows 95/98 y permite que alguien controle nuestra PC de manera remota toda vez que nos conectamos a Internet. ¿Así de malo?
Así de malo, pero no hay que desesperar. Las computadoras no son mágicas y el Netbus tampoco. Este troyano, desarrollado por el sueco Carl Fredrik Neikter, está compuesto de dos programas: uno es el servidor y otro es el cliente. El chico malo que quiere adueñarse de la PCajena debe ejecutar el cliente, que se llama Netbus.exe , y la víctima debe correr el servidor.
Cuando la limosna es grande
Dicho de otra manera, el chico malo debe arreglárselas para que su víctima no sólo baje de la Internet el servidor, sino también para que lo ejecute. Por esto, el servidor siempre viene disfrazado como algo beneficioso. De forma predeterminada, se llama Patch.exe (los chicos malos suelen renombrarlo) y al parecer no es difícil convencer a un usuario nuevo de que este patch mejorará su velocidad de conexión con Internet, corregirá defectos de seguridad del Explorer o cualquier otra cosa. Así, la gente lo baja, muchas veces de los canales de chat, lo ejecuta y cae en la trampa.
A partir de ahí, el chico malo puede conectarse con nuestra PC y abrir y cerrar la lectora de CD, arrancar aplicaciones, conmutar los botones del ratón, producir sonidos, ver las teclas que escribimos, obtener una imagen de nuestra pantalla, enviar archivos, llevárselos o borrarlos, desactivar teclas y mostrar, enfocar o cerrar ventanas, y una cantidad de cosas más.
En la Web usted va a encontrar una cantidad de programas que supuestamente acaban con el Netbus . Pero siempre existe el temor de que un programa que dice eliminar troyanos instale en realidad otro. Puede buscarlos, probarlos y correr sus riesgos. Pero me parece más seguro (aunque un poco más complicado) eliminar el Netbus a mano. ¿Cómo se hace?
Hay que editar el Registro . Cuando usted lo ejecuta por primera vez, el servidor del Netbus ( patch.exe , sysedit.exe , etcétera) se autoinstala en una clave del Registro desde donde se arrancan los programas al iniciar Windows 95. Esa clave es Hkey_Local_MachineSoftwareMicrosoftWindowsCurrent VersionRun (otros troyanos, como el Back Orifice , usan la clave RunServices ). Allí encontrará una cantidad de ejecutables normales, como su antivirus o el SysTray , que necesitan iniciarse con Windows. Si últimamente su lectora de CD se abrió y cerró varias veces mientras estaba conectado a la Internet, encontrará en esa clave un programa que no debería estar en el Registro. Anote el nombre de ese ejecutable.
Para eliminarlo, borre esa clave y reinicie el equipo (recuerde ser cuidadoso al tratar con el Registro). Luego, busque en sus discos el ejecutable que acaba de sacar del Registro y cuyo nombre anotó. Ese es el servidor del Netbus y debería tener 427.576 bytes en la última versión (1.7). Para terminar, deberá borrar el archivo keyhook.dll que reside en el directorio Windows o System . Este archivo viene con varios programas y el Netbus lo reemplaza. Tras eliminarlo tendrá que volver a copiar la versión buena desde los discos de distribución del programa que lo instaló primero.
El Netbus usa de forma predeterminada el puerto TCP ( Transmission Control Protocol ) 12345, mientras que el Back Orifice (BO) usa el UDP ( User Datagram Protocol ) 31337. Un Escucha de puertos ( port listener , en la jerga; en la Web econtrará varios) le debería servir para ver si esos puertos sospechosos están en uso. Ni el Netbus ni el Back Orifice aparecen en la lista de tareas cuando usted aprieta Ctrl+ Alt+Del.
El Netbus, al revés que el Back Orifice , funciona también en Windows NT. El Back Orifice puede incrustarse en cualquier aplicación inocente de Windows.
Por Eduardo Dahl
