NetBus und NetBuster

Es war schon immer ein Traum der Menschheit, andere Computer zu überwachen und zu steuern. Auf dem Internet kursieren deshalb diverse Programme, welche dem Benutzer eine solche Überwachung ermöglichen. Zu diesem Zwecke wird auf einem Zielrechner (= Rechner, der ausspioniert werden soll) ein Serverprogramm installiert, welches es dem Benutzer ermöglicht, mit dem dazugehörenden Clientprogramm gewisse Aktionen (z.B. Formatieren der Festplatte) zu tätigen. Das Serverprogramm aktiviert sich bei jedem Start des Betriebssystems und kann von den Anwendern des dazugehörenden Clientprogrammes dazu benutzt werden, die von NetBus aktivierten Sicherheitslücken (z.B. offener Port) zu missbrauchen.

Zwei bekannte Programme, welche das Monitoring über das Internet sprich TCP/IP-Protokoll erlauben, sind Back Orifice und NetBus. Im Grunde genommen handelt es sich bei diesen Programmen um Trojanische Pferde. Als Trojanische Pferde werden Programme bezeichnet, die vorgeben, eine gewisse Aufgabe zu erfüllen, aber in Wirklichkeit eine andere Funktion ausüben. Das NetBus Serverprogramm PATCH.EXE wird beispielsweise in ein Wirtsprogramm (z.B. Weihnachtsgrüsse als EXE-File) integriert und beim Aufstarten desjenigen aktiviert. Jedes Mal, wenn sich der befallene Computer (in diesem Fall Server) am Internet anmeldet, steht er für Angriffe bereit.

Ein Schutz gegen NetBus bietet das Programm NetBuster, welches erkennt, ob ein Computer mit NetBus befallenen ist und diesen dann aus der Registry löscht. Einem potentiellen Angreifer wird mit Hilfe von NetBuster ein vorhandensein von NetBus simuliert. Dadurch wird dem NetBuster Anwender offenbahrt, von welcher IP-Adresse, der PC gerade mittels NetBus angegriffen wird und es kann ein Gegenangriff gestartet werden.

Natürlich kann NetBus auch mit einem Passwort versehen und willentlich als Server eingesetzt (z.B. um mit dem Firmenrechner verbunden zu sein) werden. Ein Einsatz von NetBus als Server ist jedoch nicht zu empfehlen, da bereits 100% erfolgreiche Passwort-Crack-Programme über das Internet angeboten werden. Benutzern, welche ihren PC von extern her sicher über das Web erreichen möchten, sei das kommerzielle Programm GoToMyPC empfohlen.

Wer NetBus ohne Mithilfe von NetBuster entfernen möchte, nehme sich folgende Einträge in der Registry einmal genauer unter die Lupe (starten von REGEDIT):

\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

PATCH             C:\WINDOWS\PATCH.EXE /nomsg

\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

NetBus Server Pro             C:\PROGRAMME\NETBUS PRO\NBSVR.EXE