"Hackeando" con NetBus

Manual del
NetBus

DESCRIPCION:

Es un programa que puede ser utilizado como herramienta de administracion

remota, o también para pasárselo bien un rato con unos amigos en una red

local, pero mas común es para utilizarlo en la red global de internet (pero

no para irritar a la peña sistemáticamente).

INSTALACION:

El NetBus consiste en una herramienta que establece una conexión entre un

cliente y un server (servidor). La parte del "server" es la que debe existir

en el ordenador del capullo con el que te quieres divertir un rato. El

cliente es la aplicación que te instalas en tu ordenador que controla el

ordenador objetivo o server.

1) Pon el server del NetBus, el Patch.exe (que se le puede cambiar el nombre,

es mas debes cambiárselo), donde quieras en el ordenador objetivo y

ejecutalo. Por defecto se auto-instala en el sistema, y cada vez que se inicie

el ordenador se auto ejecutará.

2) Pon el cliente de NetBus (netbus.exe) en tu ordenador.

3) Inicia el cliente de NetBus y elige el nombre del Host (también llamada

dirección IP) a la que quieres conectarte y tiene el server instalado.

Si el patch.exe está bien metido te podrás conectar y empezará la diversión.

NOTA: No se verá el patch.exe cuando esté ejecutado, ya que estará oculto

todo el rato.

TCP/IP es el protocolo que utilizarán tanto el NetBus como el Patch. Que

quiere decir que te estás conectando a alguien con un host-name o una IP.

Para conectarte deberás escribir la IP del capullo al que te vas a meter en

su ordenador y darle al botón de "Connect".

OPCIONES AVANZADAS:

Hay algunos parámetros que puedes utilizar con el patch.exe:

Patch /no add

Quiere decir que no quieres que se inicie el Patch cada vez que se inicie

el Windows, probablemente usado para probar el NetBus simplemente.

Patch /remove

Se remueve el mismo de la memoria y del registro

Si quieres un método mas sofisticado para colarle el NetBus-server (Patch.exe)

inclúyelo en la instalación de un programa o juego y así se ejecutará sin que

el individuo se entere.

OPCIONES PARA EXPERTOS:

Está claro que el NetBus-server siempre ha de ser ejecutado antes de

utilizar un cliente para conectarse a ese ordenador. Pero..¿como podemos

ejecutar la aplicación en el ordenador objetivo sin tener acceso al mismo?

¿O persuadirle para que lo ejecute? Actualmente es posible, pero tienes que

ser un programador medianamente bueno. Básicamente deberás buscar y explotar

los bugs de seguridad en los programas de internet de Timo$oft. Probablemente

habrás oido que Timo$oft queria que todos sus usuarios de bajasen un patch

para los programas de correo.

Cualquiera de estos programas que no tengan el patch de Microsoft le pueden

dar a un buen hacker la oportunidad de ejecutar un código arbitrario en el

sistema si el usuario abre/lee un e-mail que le hace un exploit en el común

"buffer overflow" bug. El nombre del documento adjunto puede ser suficientemente

largo para llenar el "stack". Esto puede causar un salto a algún código que

mienten el "string del nombre del archivo" que puede hacer cualquier cosa,

como por ejemplo bajarse programas de internet y ejecutarlos.

¿QUE HAY DE NUEVO?

-El NetBus server ya no realiza logs de las conexiones entrantes.

-El sisedit se renombra por Patch y se instala automáticamente en el sistema

sin tener que utilizar el antiguo parámetro /add. Por eso el parámetro

/noadd fué incluido.

-Desde ahora el Patch remueve cualquier instancia de el mismo de la memoria

si lo ejecutas 2 o mas veces.

-El patch contiene ahora el KeyHook.dll que se extrae al inicio.

-El patch no se revela en la lista de tareas.

-Borrador de archivos (Incluido gracias a múltiples peticiones, pero no darle

un uso abusivo)

-Loa archivos mandados se pueden meter en el directorio que se quiera.

-Las "keys" en el teclado pueden ser apagadas.

-Pulsando F12 ("boss-key") el NetBus se minimizará a la barra de tareas.

-La gestión de protección de passwords ahora es mas fácil de usar.

-Un administrador de mensajes.

-Un administrador de ventanas.

COMENTARIOS DEL AUTOR:

La primera versión pública del NetBus fue sacada a mediados de marzo del 98

y la interfaz de usuario era en sueco I yo pensé que seria mejor compartir mi

programa con todos.¡Guau las reacciones y los comentarios que recibí!

Unos meses después me pareció natural traducir el programa a ingles. Gracias

a esto parece que el NetBus se usa y es querido en todos lados. Y a raíz de

esto muchas personas me han pedido que haga nuevas versiones del programa.

Esta versión incluye casi todo lo que me han pedido, así como una instalación

mas fácil.

Puedes contactar con el autor mandando un mensaje a cf@bonsa.se si me quieres

contar cuanto te has divertido con el programa.

FUNCIONES:

-Open/close CD-Rom- sirve para abrir y cerrar el CD, que se puede hacer una

vez o en intervalos en segundos.

-Show Image- muestra una imagen, si no le dices la ubicación de la imagen

mirará en el directorio del Patch, y reconoce imágenes bmp y jpg.

-Swap mouse buttons-Cambia las opciones del botón derecho del mause al

izquierdo y viceversa.

-Play Sound- Ejecutará un sonido en el server, si no se dice la ubicación

buscará el sonido en el directorio del patch. Solo soporta sonidos wav

-Mouse pos- para poner el mouse en el server en unas coordenadas establecidas

arbitrariamente. Con "Control Mouse" podrás navegar su mouse a través de su

pantalla.

-Msg Manager- podrás mostrar mensajes en su pantalla, la respuesta siempre

te será devuelta.

-Exit Windows- para apagarle el sistema.

-Go to URL- Para ir a una URL determinada en el server.

-Send text- para activar una determinada aplicación en el server.

-Listen for keystrokes- escuchas los keystrokes que te son devueltos.

-Get a Screendump- para ver el contenido de su pantalla (no aconsejable

con conexiones lentas).

-Get info- obtener información del server.

-File Manager- para bajarte, subir borrar archivos del host, bueno para

actualizar el patch si salen nuevas versiones.

-Sound system- para controlar el sonido del server. También con record soud!

podrás grabar sonidos.

-Key manager- podrás desactivar las teclas del teclado.

-Change password- dentro de server admin. y sirve para gestionar los paswwords

su sistema.

-Active wnds- para activar y desactivar ventanas.

NOTA: Estas funciones lógicamente tendrán un delay antes de ser ejecutadas.

CONECTANDO:

El botón de conexión tiene unas agradables funciones. Puede escanear

direcciones IP. Tan pronto como te conectes a un ordenador parará de escanear

la IP. La sintaxis para la IP es xx.xx.xx.xx+xx, ej. 127.0.0.1+15 que escaneará

números IP en el rango de 127.0.0.1 hasta 127.0.0.16

PROTECCION DE PASSWORDS:

Si solo quieres divertirte un poco con el ordenador de un amigo tuyo, y

solo quieres usar tu el NetBus con el, puedes protegerlo con un password para solo

utilizarlo tu. Para utilizar esto tienes que iniciar el SYSEDIT con el

parámetro /pass: la contraseña o usa las funciones de administracion que trae

el NetBus.

Ahora el que se intente conectar a ese ordenador sin la contraseña correcta no

podrá.

CONSEJO:

Probablemente intentarás utilizar las funciones del NetBus en tu propio

ordenador para ver como funcionan y como se usan, pero jamás funcionara

pase lo que pase la función de "send text" si lo usas en tu propio ordenador.

REQUISITOS MINIMOS:

Windows 98/98 o Windows XP, también hará falta un poco de picardía.

ULTIMAS NOTAS:

Texto traducido al Castellano por borno, si tienes dudas búscame en el

canal de #hacking del Irc-Hispano, o visita mi pagina:

http://fly.to/borno/

El NetBus te lo puedes bajar también de mi página.

NOTA: Lo mejor para colarle el patch.exe a algún capullo es la ingeniería

social, si eres habilidoso lo conseguirás.

COMO METER UN TROYANO El troyano q yo uso es el Wincrash, es muy sencillo d manejar, y para aprender es el mejor, d los q e visto. Solo tienes q mandar el archivo Risas_exe.vir (la extensión .vir la pone el antivirus, ya q ice una limpieza en el disco duro, todos los troyanos, supongo q los virus tb, si no le das a renombrar t los pone como .vir, para quitarlo es muy fácil, en cualquier ventana q tengas abierta d windows dale a ver / opciones d carpeta / ver / y busca una opción para q t muestre las extensiones, borras el .vir y pones .exe) Bueno pues a lo q íbamos, cierra todos los programas q trabajen en la red (kazaa, las ventanas d internet, cualquiera q t de una ip) entonces ejecutas en ms-dos la orden netstat/n y t aparecen algunas ip, q es donde estas conectado, es decir el proveedor d internet al q t conectas, mandas el risas ya cambiada la extension, (yo t la cambio en uno y t mando otro .vir) por el msn, y cuando la estés mandando vuelves a ejecutar el netstat/n, y t aparecerá una ip nueva, puede q varias, asin q cuando el carajote abra el archivo ya esta infectado, ya solo t queda abrir el wincrash.exe (tb ay q cambiarle extensión) y poner la ip completa, y ya es tuyo. CAMUFLAJE: Soy MCDOUGLA_90 y te voy a explicar como crear un método para colocar un troyano en un archivo TXT. No sé si este sistema fue pensado por otra persona antes, pero yo lo creé sin ninguna documentación, así que lo más probable es que sea una idea original. El método se puede resumir en pocas palabras: es un paquete colocado en un archivo DOC con extensión cambiada a TXT. Si no entendiste seguí leyendo y te explico. Windows tiene dos defectos que los utilizo en combinación para crear un troyano casi indetectable. Primero, los paquetes: estos son los famosos archivos SHS que andan dando vuelta por internet, especialmente por el chat. Estos paquetes tienen el beneficio de que pueden contener cualquier tipo de archivo (incluso EXEs) y que la extensión no es mostrada por Windows. Por ejemplo, si yo creo un paquete con un troyano y lo nombro "juego.exe.shs", la víctima sólo ve "juego.exe". El defecto de esto es que cuando se intenta mandar vía email o chat, la víctima puede ver la extensión SHS y se da cuenta de la trampa. Segundo defecto: internet está lleno de lamers que saben que no deben recibir archivos SHS, pero la mayoría no tiene ni idea de qué son. Un SHS puede estar también en un archivo de texto, como por ejemplo los archivos DOC. Para hacer esto se pega el paquete en el documento y se activa haciendo doble click sobre él. Entonces ¿por qué seguís leyendo este texto y no te pones a hacer troyanos ya mismo? La respuesta es que la mayoría de los usuarios de Windows tienen instalados el Word. Cuando la víctima abre el documento con el Word e intenta hacer doble click sobre el paquete, el maldito Word salta con un cartel que advierte que el paquete que está a punto de ejecutar puede contener virus, troyanos, etc, etc. Así que la víctima tiene que ser muy estúpida para ejecutarlo. Entonces ¿cómo & $ %& haces para que la víctima no se de cuenta de lo que está haciendo? Acá es donde entra el segundo defecto de Windows: si pones un paquete en un archivo DOC, y le cambias la extensión a TXT el problema queda resuelto. Los archivos TXT son documentos de texto simple, sin formato, y no aceptan paquetes. Pero en Windows, estos archivos están configurados para ser abiertos con el Block de Notas (sin importar que tengas instalado el Word). El problema con el Block de Notas es que sólo puede abrir archivos pequeños; en caso de ser demasiado grande el archivo es abierto con WordPad ¡que acepta paquetes y no pone ninguna advertencia! Conclusión: cuando la persona abre el TXT, se encuentra con un paquete, y si hace doble click sobre el paquete... ;-) Beneficios del sistema: * La extensión es TXT verdadero (no "exe.txt" como hacen algunos) * Puede contener cualquier tipo de archivos que queramos (exe, com, bat, scr) * Al ser TXT puede ser mandado por chat, email, ICQ o cualquier medio que quieras * Es un método que permite un gran campo de acción como muestro más abajo Puntos débiles: * La víctima tiene que tener Windows * La víctima tiene que tener el Block de Notas como visor de TXT (90% de los casos) * La víctima tiene que abrir el archivo haciendo doble click sobre él (de otra manera podría abrirlo directamente desde el Word haciendo Archivo/Abrir) Cómo preparar el archivo paso a paso: 1) Abrir el empaquetador (C:WINDOWSPACKAGER.EXE). Del lado izquierdo tenemos la apariencia, lo que la víctima va a ver. Del lado derecho tenemos el programa que se va a ejecutar. 2) Yo recomiendo que en la apariencia se coloque un ícono o una imagen. Para colocar un ícono hace click en "Insertar icono" y selecciona el que quieras. Si el ícono que queréis no aparece en la lista, hace click en "Examinar" y buscá el archivo que lo contiene. Para insertar una imagen, primero abrí la imagen con cualquier visualizador (Ej: Paint) y copiala. Después volvé al empaquetador y hace click en la sección de apariencia para seleccionarla. Después click en Edición/Pegar. 3) Para insertar el contenido hacé click en la sección de contenido para seleccionarla. Después click en Archivo/Importar. Selecciona el archivo que queréis que se ejecute. 4) Hace click en Edición/Copiar paquete. Abrí el Word o el WordPad y pega el paquete. Guarda el documento como archivo DOC (Ej: troyano.doc) 5) Por último cambia la extensión del archivo a TXT (Ej: troyano.txt). ¡LISTO! Ahora si la víctima hace doble click sobre el paquete se le instalará el troyano sin ninguna advertencia. NOTA IMPORTANTE: El tamaño del archivo TXT (con paquete incluido) debe ser de al menos 64287 bytes. Truco 1: Si la víctima sabe que lo que va a ejecutar es un paquete, puede hacer click derecho sobre éste y elegir "Editar paquete" para ver qué es lo que contiene. Entonces si colocaste un troyano llamado "troyano.exe" se va a dar cuenta. Para solucionar esto tenés que poner al troyano un nombre con muchos espacios para que la víctima no pueda ver la extensión. Por ejemplo: "troyano foto.jpg .exe" (tenés que dejar el nombre que la víctima queréis que vea en el medio) Truco 2: Si tenés un poco de conocimiento en programación podés hacer un programa que ejecute el troyano y a la ves muestre una foto. De esta manera podés decirle a alguien que le mandás tu foto y cuando la ejecute no va a sospechar de nada. Truco 3: Si vas a mandar el archivo haciéndolo pasar por una foto lo podés compactar en un ZIP para que no vea que es un TXT porque nadie te va a creer que el TXT tiene una imagen. Luego cuando la víctima lo recibe y ve que tiene un TXT lo ejecuta porque ya lo recibió. ¡Usa la imaginación! Tenés miles de posibilidades. EN RESUMIDAS CUENTAS: LO MAS FACIL ES; 1-ABRES EL MESSENGER 2-LO DEJAS CONECTADO Y TE VAS A MSDOS Y ESCRIBES LO SIGUIENTE: CD..(PARA QUITAR LA OPCION QUE TE INDICA EL WINDOWS Y LUEGO ESCRIBES NETSTAT/N(QUE SIRVE PARA VER LA IP TUYA Y QUE LUEGO APARECERA LA DE LA VICTIMA) 3-PARA VER SU IP,QUE SIN ESO NO PUEDES HACER NADA,DEJAS TODO COMO TE LO HE DICHO Y LUEGO LE MANDAS EL VIRUS CAMUFLADO,EL DE RISAS... Y VUELVES A ESCRIBIR EL CODIGO QUE TE EPLIQUE Y VERAS QUE APERECE UNA NUEVA IP,POR CIERTO LA IP ES LA DEL LADO DE LA DERECHA,LA REMOTA 4-CON EL PROGRAMA,EL VIRUS INERTA ESE NUMERO Y YA ESTA