O NetBus é um cavalo de tróia (tem seu código oculto dentro de outro programa executável .exe) que, assim como o Back Orifice, explora as falhas de segurança do Windows. Uma vez instalado no computador, permite que um usuário remoto não-autorizado tenha total controle sobre a máquina da vítima, ou sejá sua máquina irá passar de cliente p/ servidor.

Detalhe : O NetBus, diferentemente do Back Orifice, funciona também no ambiente Windows NT.

Para se proteger do NetBus, valem algumas regras básicas, que devem ser seguidas por qualquer usuário de computador, esteja ele ou não conectado à internet ou a uma rede local : Ter um software antivírus instalado e sempre atualizado, não abrir arquivos executáveis (.exe, por exemplo) de fontes não conhecidas, não abrir arquivo algum do disquete sem passar o antivírus.

Todos os meses, os fabricantes de antivírus colocam em seus sites atualizações das bibliotecas de vírus. O arquivo DAT 3110 do VirusScan, disponível para download, já detecta o intruso.

Mas é possível detectar o NetBus sem um programa antivírus. Proceda da seguinte maneira :

No menu INICIAR, clique em PROGRAMAS e depois em PROMPT do MS-DOS.
Na janela do MS-DOS, digite netstat –an | find "12345"
Caso o NetBus esteja hospedado na sua máquina, pode aparecer uma linha de comando com as seguintes características :

TCP 0.0.0.0:12345 0.0.0.0:0 LISTENING


 

O que fazer quando o NetBus for detectado ?

Existem programas escritos especialmente para remover cavalos de tróia, uma outra forma de remoção é recorrer ao próprio NetBus, que tem uma função de desinstalar (uninstall).

Faça o download da versão do programa que é usada pelo administrador remoto em http://technet.found.net/netbus e instale o NetBus.
Conecte-se ao provedor de acesso.
Em INICIAR, EXECUTAR, digite WINIPCFG.
Anote o endereço IP informado.
Chame o NetBus, informe o endereço IP anotado e peça "Server Admin" e depois "Remove Server".
 

ATENÇÃO : Esse recurso só funciona se o agressor que instalou o NetBus em sua máquina não tiver especificado uma senha. Se foi especificada uma senha, ela pode ser descoberta pelo Registry do Windows (em INICIAR, EXECUTAR, digite REGEDIT e verifique a chave "HKEY_CURRENT_USER\PATCH\SETTINGS\SERVERPWD", que contém a senha). Cuidado com modificações no REGISTRY, modificações erradas podem causar danos ao sistema.
 

Remoção Manual

O NetBus também pode ser removido manualmente. Em geral, esse recurso funciona mesmo que o NetBus tenha senha. Proceda da seguinte maneira :

Conecte-se ao provedor de acesso.
Em INICIAR, EXECUTAR, digite WINIPCFG.
Anote o endereço IP.
Em INICIAR, EXECUTAR, digite TELNET, seguido do endereço anotado mais 12345. (Exemplo : telnet 200.300.100.1 12345).
Digite Password;1 ; dê enter.
Digite RemoveServer;1 ; dê enter.
Pronto, seu computador está livre do NetBus.