O BO e o NEtBus ficam residentes no computador e podem enviar dados para os micros dos hackers que estão no ataque.

Os programas só atacam no ambiente de 32 e 64 bits do Windows

Isto é, atacam o:
Windows 95,
Windows 98
e o Windows NT

Como já informei anteriormente, para que um programa de computador possa ser chamado de vírus uma característica fundamental deve estar presente:

- O programa deve se auto-replicar -

Portanto como os dois programas NÃO SE AUTO-REPLICAM eles NÃO SÃO VÍRUS.

Entretanto, tendo em vista que - muitas vezes - esses programas são transmitidos para os micros dos usuários como sendo algo útil e/ou importante, eles são na verdade CAVALOS DE TRÓIA. Embora "vendidos" como utilitários, na verdade são programados para fazer algo que fica totalmente escondido de seus usuários.

Isto posto tenho que admitir que os programas existem e podem fazer muita coisa, em geral transmitir dados do computador onde é instalado a parte SERVER (que é o micro do usuário) para a parte CLIENTE (que fica com o hacker).

A maioria dos provedores de acesso informou seus clientes dos riscos potenciais na segurança dos dados dos micros que tiverem operando esses programas. Muitos dão antídotos, que podem ser baixados diretamente de seus sites. Outros divulgam algumas maneiras dos usuários descobrirem se em seus Windows (95, 98 e NT) está instalado e/ou rodando um desses CAVALOS DE TRÓIA.

Diversos associados, e simples Internautas visitantes de nossas páginas, me enviaram tantos e-mails, solicitando maiores informações sobre o assunto, que resolvi pesquisar um pouco mais na própria rede, e em outras mídias, e montei o material que apresento à seguir. O objetivo é resumir as principais ameaças que esses programas apresentam, os principais métodos de detecção, e uma relação de links onde podem ser obtidos programas e material adicional sobre o assunto.

O programa BO tem sempre um tamanho variando entre 124.898 e 124.958 Bytes

O programa NetBus tem um tamanho aproximado de 513 KBytes

O autor do NetBus, Carl Neitker, não o fez com a intenção de ser maléfico, foi usado por hackers para seus ataques, pelo seu poder de controlar as conexões de comunicação

Método # A - Busca de String (só para o Back Orifice)

1. LOCALIZE em MEU COMPUTADOR, nos arquivos de nome *.*, a string "bofile mapping" (sem as aspas);

2. LOCALIZE em MEU COMPUTADOR arquivos com a extensão ".exe~1" ou então um arquivo de nome "WINDLL.DLL";

Método # B - Procura de Atividade na Porta de Comunicação

Abra uma janela DOS (INICIAR * PROGRAMAS * PROMPT DO MS-DOS), e digite o seguinte comando:

Para o Back Orifice:
netstat -an | find "31337"
(atenção o caracter | é a tecla de barra invertida com o shift pressionado, conhecido como operador pipe)
Se o computador responder com um protocolo UDP num endereço TCP/IP no ESTADO LISTENING é certo que você está com o BO na máquina, e pronto para fazer seu serviço.

Para o NetBus:
netstat -an | find "12345"
Se o computador responder com um endereço TCP/IP no ESTADO LISTENING é certo que você está com o NetBus na máquina, e pronto para fazer seu serviço.

PS: é possível os programas BO e NetBus começarem a usar endereços difirentes, assim o melhor é teclar apenas "netsat -an" - entretanto lembre-se que você irá achar pelo menos um protocolo UDP, um deles, em geral com a terminação ":1324" ou ":1668" é normal do sistema (em geral os programas que acessam as portas do sistema ficam residindo nos endereços superiores à :8000).

Método # C - Busca no Registry do Windows

Antes de tudo faça um backup do seu REGISTRY, já que um deslize da sua parte... e seu Windows já era.

Depois do backup efetuado, execute o comando REGEDIT
(no INICIAR * EXECUTAR)

Para o Back Orifice:
Procure na chave HKEY_LOCAL_MACHINE \SOFTWARE 
\MICROSOFT \WINDOWS \CURRENTVERSION a chave RunService; veja se dentro dessas existe alguma entrada com um arquivo de mesmo nome que o servidor Back Orifice e que no fim do path apareça um ".exe"; achando-o EXCLUA a entrada. Outra coisa a procurar são os parâmetros /nomsg  e /noadd - encontrando-os exclua-os.

Para o NetBus:
Procure na chave HKEY_LOCAL_MACHINE \SOFTWARE \MICROSOFT \WINDOWS \CURRENTVERSION as chaves Run, RunOnce, RunService e RunServiceOnce; veja se dentro dessas existe alguma entrada com o nome "Patch" ou "SysEdit"; achando-o EXCLUA a entrada.

Método # D - Usando Programas Detetores

Entre na Internet, e visite os endereços indicados pelos links abaixo. Nesses endereços podem ser baixados pequenos programas que servem para varrer seu micro e detectar a presença desses CAVALOS DE TRÓIA (como sempre esteja atento com a existência de VÍRUS reais - faça sempre um escaneamento com seu anti-vírus antes de tentar rodar esses programas:

• www.arez.com/fs/antigen/index.html
• web.cip.com.br/nobo/nobo.html
• www.sinnerz.com/tp.html
• internetbr.com.br/secoes/capa/estemes/paginas/capa31.asp
• www.spiritone.com/~cbenson/

Mais Dicas Técnicas (em Inglês):

Para o Back Orifice:
www.rootshell.com/archive-j457nxiqi3gq59dv/199808/boinfo.txt.htm

Para o NetBus:
http://welcome.to/Net-Bus (é o site do autor do NetBus)