Il file sysedit.exe nella directory C:\Windows\System e' di 20k. Se
invece e' grande ~400k e' il server di Netbus. Attenzione anche a file di nome
patch.exe, splat1.exe o contascatti.exe e persino explore.exe, diverse versioni
del trojan possono essere in uno di questi! Riconoscimento: il client ha di
solito un'icona che raffigura un ingranaggio grigio. Il server invece ha
un'icona fatta a torcia su sfondo blu, ma dipende dalla versione che si ha: a
seconda del compilatore che hanno usato, infatti, l'icona cambia.
Il programma sysedit.exe di 20k e' un'utility di windows
che fa partire gli editor dei vari autoexec.bat, system.ini ecc.
La versione 1.53 presenta gravi bug, come ad esempio l'impossibilita' di
rimuoverlo attraverso il pulsante di server admin (server admin --->remove
server). In questo caso convinene eliminarlo manualmente.
In tutti gli altri casi basta avere Netbus versione client e cliccare
appunto su server admin e selezionare remove server. Questo dopo essersi
collegati all'indirizzo di localhost (127.0.0.1). Nel caso esista una
password la ricerca di tale pass e' semplice. Si cerca nel registro di
Win il nome del server (Patch oppure Explore) e si leggera' la pass
scritta in chiaro alla voce settings.
Se il vostro lettore cd, si apre d'incanto, se vi appare
una bella finestrella sullo schermo con un messaggetto
deficente, questo e' Netbus.
Stessa storia di BO, SERVER E CLIENT, se non lo eseguite
non vi infetta, se siete infettati basta uno scan..e chiunque
vi trova, stesse indicazioni, password e porta ma facilmente aggirabili.
