Netbus 2.0 Pro guide v1.1

*****************************************************************************
Tempo impiegato: circa 6 ore
Cibi assunti: un pacchetto di Mikado e un pacchetto di caramelle gelatinose alla fragola
Musica: Aerosmith (I don't want to miss a thing)
Pantera (Cowboys from hell, Cementery gates)
Dream theater (Innocence faded)
Marilyn Manson (I don't like the drugs [but the drugs like me])
Deep Purple (Highway star)
U2 (With or without you)
Tools usati: il cervello e la santa pazienza
*****************************************************************************

Salve a tutti, in questo articolo cercherò di insegnarvi ad usare al meglio tutte le funzioni del nuovo Netbus 2.0 Pro.
Bando alle ciance ed iniziamo.
Come tutti (o quasi) saprete il Netbus non è altro che un trojan, cioè uno di quei programmilli che una volta avviati si annidano tra i file del vostro computer e senza farsene accorgere si "autoeseguono" ogni volta che parte il S.O., il trojan che stiamo per esaminare è il più noto ma ce ne sono altri (B.o. per esempio), il programma, come nelle sue versioni precedenti, è composto da due file: NBSvr.exe (netbus server) è il file che dovrete dare a chi volete infettare e NetBus.exe che è la console dalla quale agirete ;).
La prima volta che downlodiamo il proggy possiamo avviare tranquillamente anche il server e non verremo infettati visto che questo file va' configurato, facciamo quindi doppio click e vediamo cosa c'è: una finestra bianca e due pulsanti in basso "settings" & "close" clickiamo su settings e vediamo cosa appare:

Accept connections= se la casella di spunta è segnata allora chiunque potrà collegarsi altrimenti il server non accetterà la connessione

Run on port 20034= questa è la porta che il Netbus usa di default per connettersi al server, possiamo anche mettere 33333 oppure 12255, insomma quello che volete, questo è un bel vantaggio dal momento che, se solo voi conoscete la porta della vittima sulla quale "gira" il server, allora solo voi potrete connettervici :)

Password= bhè credo che questa sia intuitiva, comunque se ne settate una come ad esempio "porcomondo" quando tenterete di connettervi al server lui vi chiederà la pass e se non è esatta allora.....NISBA. Ci siamo capiti?

Visibility of server= Questa finestra ci consente di far vedere il server mentre è in esecuzione, eccovi elencate le varie opzioni:
Fully visible= totalmente visibile, in pratica una normale finestra.
Minimize as trayicon= si vede l'icona del server solo sul systray (dove sta l'orologio per capirci).
Only in tasklist= se viene selezionata questa allora ci accorgeremo della presenza del server solo premendo ctrl+alt+canc e guardando nella tasklist.
    Fully invisible= totalmente invisibile, non si può vedere in  nessun modo anzi....col ProcDump ;))).

 

Access mode= questa opzione determina ciò che possiamo fare sul computer della nostra cara vittima:
Basic access: possiamo solo guardare ma non toccare, in pratica possiamo vedere i file ma non scaricarli, uplodarli o cancellarli.
    Spy mode access: possiamo agire in silenzio, possiamo uplodare file, guardare nelle cartelle, ma non possiamo cancellare o manipolare nulla.
Fully access: da qui possiamo fare tutto ma proprio tutto, come se fossimo a casa nostra hehe ;)

Autostart every windows session= dice al patch di avviarsi ogni volta che si avvia windows e per farlo mette questa stringa in regedit :

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
"Netbus Server Pro"="C:\PROGRAMMI\NETBUS\NBSVR.EXE"
             

                                            ^---- Questa è la locazione del patch e può cambiare

Quindi se avete capito, per disinfettarsi dal netbus basta andare al regedit e cercare in questa locazione qualcosa di sospetto, se c'è basta cancellare la stringa (ricordando il nome del file che può cambiare) riavviare il computer e cancellare quel file che "era" richiamato dalla stringa, avete capito? Se no rileggete tutto ;)))
Adesso passiamo ad esaminare la console, in questa sezione non descriverò tutti i comandi uno per uno come per il server, ma sperimenteremo le varie sezioni sul nostro amato pc.
Per prima cosa andiamo sul nostro server, settiamo la password a "ciauz" e segniamo la casella "Accept connections".
Apriamo la console e registriamola andando nel pannello Help|Register ed inserendo questi dati (ma se siete sportivi dovete leggere il mio tutorial su come pescarne il serial):

 

Your name:    NAG
Company:      Quello che volete (basta non lasciarlo vuoto)
Key:      FDDB7485

 

Fatto ciò proviamo a creare un nuovo "Host" cioè settiamo tutte le opzioni per poter entrare nel nostro computer, per farlo andate nel menu Host|New,
ci vengono chieste delle info che mi accingerò a spiegare:

Destination: Un nome che volete, io userò Quequero

Host name/IP: Qui dovete inserire il nome dell'host (il vostro pc si chiama "localhost") oppure l'ip corrispondente al nostro computer, cioè 127.0.0.1

TCP-port: lasciamo quella di default

Username: lasciamolo com'è

Password: ciauz
Clickiamo su ok e vediamo che appare un nuovo host oltre al primo chiamato Quequero, adesso andiamo nella directory del Netbus ed avviamo il server, fatto ciò clickiamo nella console sul terzo tasto in basso partendo da sinistra (Conntect to Host), ora possiamo divertirci ad esaminare tutte le funzionalità di questo trojan.
Andiamo sul primo tasto in a destra (quello con l'icona della finestra) e vediamo che possiamo scegliere due opzioni: System info e Cached password,
la prima opzione ci dà alcune informazioni riguardo il sistema operativo della vittima e notizie sulla ram e cazzi vari, la seconda invece significa letteralmente "password nascoste" e serve per mostrarvi le password nascoste sul sistema del tizio infettato, non funziona però sotto winzozNT.
Il secondo pulsante fa apparire un menu dal quale possiamo mandare vari tipi di messaggi (parliamo di messagebox, cioè box ai quali si deve rispondere con "si" "no" "forse", un esempio di messagebox è quello che ci appare quando vogliamo svuotare il cestino che ci chiede se vogliamo eliminare ad esempio il file "Sleppa.jpg" ok? credo di si) e come se non bastasse possiamo anche decidere le icone che appariranno (icona di stop, icona di informazione, icona di domanda ecc...). Ovviamente possiamo decidere il testo che ci vorremo inserire, i tasti che vogliamo far apparire e, manco a dirlo, netbus ci dirà addirittura cosa ha risposto il malcapitato. Questo menu che a prima vista sembra inutile o comunque solo "divertente" è invece molto utile se usato nel modo appropriato, pensate che una volta ad un tizio infettato col netbus 1.7 ho uppato il patch per il 2.0 e poi gli ho mandato un messaggio che recava +o- le stesse parole "Microsoft(r) Windows(c) Message: Vai al prompt di MS-Dos e digita: patch.exe, servirà a proteggerti dal rischio di disconnessione durante l'imminente split del tuo server IRC."
Bhè pensate che coglioni vanno in giro ;)))) (si lo so che l'opzione "Run file" serve a questo ma che ci volete fare :)
Una cosa che dovete assolutamente evitare di fare è di spedire messaggi con su scritto frasi del tipo: "Formattazione in corso" oppure "Il tuo computer stà per esplodere" ecc... Infatti noi dovremmo entrare nel computer di qualcuno in modo silenzioso, senza fargli accorgere della nostra presenza, se sarete bravi potrete collegarvi a qualcuno per mesi prima che se ne accorga, io stesso mi collegavo spesso ad un tipo e mi scaricavo dal suo cp molte cose che trovava LUI sulla rete, dopo due mesi dovevo scambiare 16 mega di file con un tipo e, non sapendo come fare, gli detti la password che usavo, scambiammo tranquillamente tutto ma poi il mio amico si divertì a fare cazzate sul "server" e così lui si disinfettò quasi subito.
Tutti voi vi sarete preoccupati almeno una volta di come tradare file per la rete, ma avevate mai pensato ad usare il netbus? Io credo di no...ringraziatemi ;)))
Le altre funzioni di questo menu non serve esplicarle visto che sono più che intuitive, passiamo ora al 3° pulsante.

Questo menu è stata la vera evoluzione del Netbus, da qui potrete cancellare, uplodare e copiare file a piacimento, basta ricordare che la parte alta della finestra è del nostro cp mentre quella bassa è del computer remoto, (che fatica trovare tutti questi sinonimi per non dire "vittima" ;) l'edit box con scritto rispettivamente "local" e "remote" ci dice in quale dir ci troviamo, il pulsante con disegnata la cartella ed una freccia serve a salire di livello (in pratica ad andare nella directory superiore), l'altro serve a cancellare un file e l'ultimo a creare una nuova directory, i pulsanti in basso a sinistra servono invece a scaricare il file selezionato (dalla lista in basso) dal computer remoto oppure a caricare un file selezionato (dalla lista in alto) SUL computer remoto, l'ultimo bottone serve a fare il refresh della schermata, close serve a chiudere la finestra ;)...quasi dimenticavo, i file che vedete segnati con una linea sono quelli nascosti.

4° pulsante: "Window manager", da questa finestra potrete vedere tutto cioè che è in esecuzione sul computer bersaglio, ma entriamo nel dettaglio ed esaminiamo tutti i pulsanti.
Show only visible windows= mostra solo le finestre visibili (cioè quelle che il pollo ha al momento attive)
Show only named windows= letteralmente "mostra solo le finestre nominate" questa casella dovrebbe far vedere tutti processi attivi che sono sullo schermo (nomi dei pulsanti sulla barra di office, icone sul systray ecc...)
se sono tutte e due deselezionate vedrete tutti i processi attivi, io vi consiglio di utilizzare solo la prima.

Class= indica la classe del programma

Text= da qui possiamo vedere il testo che appare in alto a destra nelle varie finestre, il bello è che può essere cambiato, date slancio alla fantasia per vedere cosa potete farci heheh;)))

Left, top= sono le coordinate del margine sinistro alto della finestra (il computer indica come X la parte alta a partire da sinistra e che cresce verso destra e come Y la parte in alto a sinistra del monitor che cresce verso il basso, inutile che se avete la risoluzione a 800x600 la X massima sarà 800 e la Y massima sarà 600)

Width, Height= le dimensioni della finestra

Pwd char= se c'è una finestra che può contenere una password allora da qui potete vedere con quale tipo di carattere sono sostituite le lettere e/o i numeri in genere è "*".

Is visible= se la casella non è segnata allora la finestra selezionata in alto scomparirà e tornerà visibile solo se segnate la casella di spunta

Is enabled= se non è segnata allora la finestra selezionata verrà disabilitata e non potrete entrarvici

Is checked= bho!

Always on top= la finestra resta sempre in primo piano

Close= chiude la finestra

Focus= ora vi spiego, la finestra in qui state agendo ha il focus, cioè la barra in alto è blu invece che grigia, (cavolo che spiegazione) se voi selezionate una finestra a piacimento e clickate su questo tasto allora al malcapitato scomparirà la finestra che ha il focus (magari quella del mirc se stà chattando su ircnet) e gli comparirà quella del sito porno dove stà aspettando che l'immagine finisca di aprirsi....capito PoRcI!!! ;)

Pulsante n°5: Registry Manager, da qui potrete navigare nel registro del cog**one e trovare magari qualche password. Per entrare nelle varie directory dovrete inserirne manualmente una di partenza così come ve le elenco:

\HKEY_CLASSES_ROOT
\HKEY_CURRENT_USER
\HKEY_LOCAL_MACHINE
\HKEY_USERS
\HKEY_CURRENT_CONFIG
\HKEY_DYN_DATA

una volta trovata una directory che ci piace possiamo inserire o cancellare dal menu "Options" nuovi valori o nuove chiavi.

Pulsante n°6: Sound system, da qui si può abbassare o alzare i vari volumi sul computer remoto, (a mio modesto parere credo che potevano anche risparmiarsi la fatica di aggiungere questa opzione ) vista la semplicità e l'intuitività dei vari comandi non mi dilungherò ulteriormente.

Pulsantino n°7: Plugin manager, se avete dei plug-in per Netbus potrete avviarli da qui.

Pulsantello n°8: Port redirect, può essere utilizzato come un piccolo server proxy in quanto redirige i dati da una porta ad un'altra provate a fare qualcosa e capirete ;))

Button n°9: Application redirect, questa meravigliosa opzione ci consente di redirigere il command.com o il cmd.exe se si usa winzozNT, ma a quale utilità? Semplicissimo, scrivete nella prima casella"c:\windows\command.com" (ricordate che dovete essere collegati al vostro computer tramite il server per eseguire le operazioni) e clickate su "Start app", come per magia avrete un prompt di dos remoto da utilizzare eccovi un esempio pratico, se la vostra vittima è un nemico e si trova sulla vostra blacklist allora redirigete il command.com e scrivete format c: /autotest   dhehihi miiitico!

Pulsantes numeros 10: File actions, il menu in questione si divide in 5 sottomenu:

Execute file= esegue un file
Play sound= esegue un suono
Show image= mostra un immagine
Open document= apre un documento
Print document= stampa un documento
Non deridetemi perché descrivo anche queste cose, ma dal momento che mi è stato chiesto di scrivere una guida dettagliata sul Netbus 2.0 pro io la sto facendo!!! ;)))

Bottoncino n°11: Spy functions, anche questo si divide in alcuni sottomenu, 4 per la precisione:

Keyboard listen= ci mostra che tasti sono stati premuti sul cp remoto
Capture screen image= cattura l'immagine attualmente presente sul cp remoto
Capture camera video= cattura l'immagine di una telecamera (se presente e attiva)
Record sound= registra i suoni che percepisce il microfono del computer

Numero 12
Presente
Vai alla lavagna
no! Mi so' giustificato
Allora ti metto impreparato 
e io ti dò fuoco alla casa
Io so' ricco e ne tengo 2 di case
allora di dò fuoco alla moglie
Mi faresti solo un favore
vabbè mi arrendo.....scusi ma lei che macchina ha?
Un Mercedes
Quanto l'ha pagato?
80 milioni
Che per caso la targa è AX 789 GB?
Si perché?
No.....così...tanto per sapere!!!
Basta con le cazzate, questo menu serve a spegnere il computer, resettare ecc ecc ecc...

13 A lavoro!!!: Cool functions, ha 6 sottomenu ecco a cosa servono (ufff non ce la faccio +)

Client chat= manda alla vittima di messagebox recanti i nostri messaggi
CD-ROM= apre e chiude il cd-rom, sembra stupido ma fa impaurire molta gente
Keyboard= da qui possiamo decidere se disabilitare qualche lettera della tastiera, (provate a disabilitare la "a" e la "e" ;) possiamo anche far emettere un suono ogni volta che un tasto è premuto, (questo è mentalmente DEVASTANTE) oppure possiamo riabilitare tutto
Mouse= scambiamo il tasto che usiamo per fare il normale click con quell'altro e possiamo riabilitare i tasti normali
Go to URL= apre un browser e va ad un url a NOSTRO piacimento, provate ad aprire 15-20 browser e vedrete il divertimento
Send text= il pollo stà su IRC? Bene mentre parla con qualcunA <---notare la maiuscola, cliccate su questa funzione e scrivete cose come: "quanto vuoi?" "io sono gay e tu?" "vuoi ballare il mambo del materasso con me?", ricordate di inserire questo simbolo per far premere automaticamente invio '~', dopo ciò vi garantisco che ne vedrete delle belle, non ci credete? Chiedetemi qualche log ;)))))

14! Agli ordini: Settings che è diviso in due menu a tendina cioè:

General=da qui si può scegliere la directory di download, cioè quella in cui vengono messi i file che avete scaricato dal server, la lingua e se volete comprimere i file durante il trasferimento (io l'ho selezionata).

"Network"= qui avrete davanti due opzioni

I am not behind a firewall or proxy= se generalmente non usate un sock selezionate questa

I am behind a SOCKS4 compatible proxy= se invece lo usate selezionate questa, nel campo host inserite l'indirizzo del proxy, per porta usate la 1080 visto che per la maggior parte delle volte va bene e cancellate l'user id che è presente lasciando il campo vuoto

N.B
Se non sai cosa mettere usa la prima visto che solo i + esperti lo fanno ;)

15: Selezionate un host e cliccate qui per connettervici

16: Disconnect from host, indovinate un po'?

17: Crea un nuovo host

18: Find Host: avete molti soldi e potete stare collegati su Internet per molto tempo? Bhè beati voi, io non posso! A parte tutto questo tasto avvia uno scan e vi trova tutti i polli infetti con il Netbus 2.0, (ricordate che netbus 1.6 e 1.7 non sono compatibili col 2.0) ma andiamo a vedere in dettaglio come funziona:

Scan from: ci chiede da quale "range" di IP vogliamo iniziare a scannare la rete, io consiglio 212.216.1.1 (se avete tempo anche da 212.1.1.1)

to: qui inseriamo il range fino al quale vogliamo arrivare se avete usato come IP di partenza 212.216.1.1 allora metterete 212.255.255

TCP-port: la porta che volete scannare, lasciate quella di default

Sockets: 10 o 20

Found components: questa è la lista dei componenti che lo scan è riuscito a trovare, gli IP elencati li dovrete inserire nel campo "Host name/IP" che abbiamo incontato precedentemente quando abbiamo creato un nuovo Host

18 ultima fermataaaaaa: da qui potrete programmare delle azioni da compiere sul computer host della vittima, è una sorta di tabella di marcia che fa determinate cose (da voi scelte) a determinate ore, ecco la tabella delle opzioni disponibili:

  
Command        Param1                   Param2             Param3

MessageBox      Information           Incontriamoci alle 12.
DeleteFile        C:\Temp.tmp
NewFolder      C:\New
DownloadFile C:\RemoteFolder\File.txt  C:\LocalFolder
UploadFile     C:\RemoteFolder           C:\LocalFolder\File.txt
AddRegData    \hkey_local_user\temp  Peppino              ciao
DeleteRegName \hkey_local_user\temp  StringName
RunPlugin Plugin.dll  EntryPoint             Params
ExecuteFile   C:\Job.bat
PlaySound     C:\suoni\Sound.wav
ShowImage    C:\porno\Image.jpg
OpenCD        1
ExitWindows
DisableKeys     ABC
KeyClick       1
SendText       ABC
SwapMouse 1

Negli esempi con "1" si intende "vero" (è il classico valore booleano vero/falso)  ("0" significa falso).

Ora spiegherò tutto, la colonna "Command" elenca tutti i comandi disponibili e che sono "standard", la colonna "Param1" indica il comando da eseguire e così via per le altre colonne ecco qualche esempio:

Nel primo caso creiamo un Messagebox con l'icona di informazione e recante il messaggio "Incontriamoci alle 12"
Nel secondo caso cancelliamo un file sul disco C che si chiama temp.tmp
Nel terzo caso creiamo una cartella che si chiama new
Nel quarto caso scarichiamo un file dall'host che si trova in C:\RemoteFolder\File.txt e lo mettiamo in C:\LocalFolder sul nostro pc
Nel 5° caso creiamo una chiave nel registro di winzoz in \hkey_local_user\temp, la chiamiamo "Peppino" e ci infiliamo dentro la stringa "ciao" e così via per gli altri OKI?

Vediamo ora come si può uplodare un vecchio patch e cosa possiamo fare nel computer "Amico".
Aggiornare il patch dalle versioni precedenti del Netbus a quella nuova è semplicissimo, basta connettersi ad un Host, uppare il nuovo patch e dal comando "Start program" (dal momento che siamo connessi con la versione vecchia dovremo far partire il patch con la console vecchia) scrivere ad esempio "c:\patch.exe" e dovrebbe andare bene, ma perchè uso il condizionale?
Bhè il motivo c'è ed è anche molto importante. Qualche giorno fà ho aggiornato ad un tizio il patch con quello nuovo, ma non capivo come mai non riuscivo a connettermi, prima di far eseguire il server sul computer Host l'avevo configurato in modo da far accettare automaticamente la connessione e da renderlo invisibile. Nonostante tutto la connessione non avveniva, ma perchè? Io credevo che il server salvasse tutti i settaggi all'interno del file stesso, ma la realtà non è stata questa infatti tutti le opzioni vengono salvate all'interno del registro di winzoz e quindi il tipo che ho usato come cavia molto probabilmente avrà visto apparire davanti ai propri occhi un programmino che gli chiedeva di accettare una connessione a qualcuno, e senza pensarci due volte ha chiuso il programma, come rimediamo a questo inconveniente?

Risposta: creando noi stessi un programmino che crei nel registro del nostro amico tutti i settaggi necessari (vi ricordo che io sto usando la versione 2.0b e non sò se esistono altre versioni, quindi se il problema è stato risolto fatemelo sapere).
Vorrei molto darvi il codice del programma, lo stavo creando ma, per qualche motivo a me ignoto, quando scrivo #include <winreg.h> dopo la compilazione ho la modica cifra di 102 errori, stò inkazzatissimo e spero di potervi fornire in seguito il codice.

 

Questo era quello che avevo scritto molto tempo fa, poi mi sono buttato giù di brutto nel programma ed ho deciso di reversarlo in maniera radicale, l'ho fatto solo dopo aver ricevuto più di 400 email di gente che mi chiedeva come cavolo si infettava un pc.....Quequero vi è giunto in aiuto ed ha fatto il lavoro duro per voi inventando il................QueBus, per ora siamo solo alla prima versione beta ma conto di farne quanto prima degli aggiornamenti, la troverete comunque qui ed avrete ovviamente bisogno del NetBus 2.0b anche se solo del client, il programma ora è cambiato e non dovrete far altro che farlo eseguire alla vittima, se volete sapere come ho fatto potete sempre leggere il mio tutorial cmq adesso il server occupa la metà dello spazio, è invisibile agli antivirus ed usa alcuni piccoli trick che lo rendono abbastanza invisibile, l'unica cosa che lo rileva è quella stringa nel registro (che ho comunque cambiato in altro :), adesso una volta connessi al pc remoto potrete fare tutto quello che vorrete e neanche il pericolosissimo log verrà più creato quindi potete dormire sonni tranquilli e soprattutto vi potete godere quello che solo ORA può definirsi un trojan e non prima. Vorrei comunque spiegarvi come fare a riconnettervi dopo giorni al pc remoto......come sapete a ogni pc viene assegnato un IP dinamo che come tale cambia, come potete fare per avere l'ip del vostro amico/nemico? I metodi sono vari, eccone alcuni:

1) usare un qualche plug-in

2) farsi mandare una mail e quindi sbirciarne l'header per trovare l'ip

3) fare un /whois <nick> al vostro amico mentre è su IRC

4) creare un programmino che si autoavvii insieme a wintrota e pingi il vostro host per esempio ogni 5 minuti, se siete su IRC o avete il Firewall attivato allora vedrete l'ip del tizio, sta a voi decidere, io il grosso l'ho credo di averlo fatto :)
Prima di chiudere vorrei darvi gli ultimi consigli, avete presente l'icona del netbus server, vi suggerisco di toglierla usando ad esempio un tool come Borland Resource Workshop o simili, vi aiuterà molto a non destare sospetti, andate anche a spulciare il registro di winzoz per scovare qualche password e aprite sempre il "Keyboard listen" che può regalarvi molte sorprese, inoltre se credete che qualcuno sia nel vostro computer provate a nukare la porta 12345 se credete che l'intruso stia usando il Netbus 1.6-1.7 e la porta 20034 se credete che stia usando invece il Netbus 2.0, se proprio non smettono di farvi scherzi (o volete semplicemente verificare che qualcuno sia effettivamente sul vostro cp) provate ad avviare "netstat" dal prompt di dos (se avete winzoz basterà scrivere netstat al prompt) e lui vi dirà tutte le porte a cui siete connessi, se vedete la porta 80 non vi preoccupate perchè è quella è del web, ma se vedete porte sospette  nukatele e vi assicuro che tutti i guai termineranno.    ;))))
Ciauzzzzzzz da Quequero

P.S.
Vorrei ringraziare la mia adorata Francesca che mi sopporta ormai da due anni, vorrei ringraziare anche Neural_Noise perchè è sulla faccia della terra e +Malattia perchè è sempre molto disponibile con me, ciauzzzzzz

e-mail: UIC@mail.usa.com

http://quequero.cjb.net
Ciauzzzzzz Quequero

 

Ricordatevi della stramiticuzza UIC (Università Italiana Cracking) ed iscrivetevi alla nostra maillist usando il form che trovate sul sito oppure mandando una e-mail vuota a: uic-subscribe@egroups.com