1001 Gefahr
Mächtiger Urahn
Wie sehr mitunter die Grenzen zwischen einem praktischen Administrationstool und einem gefährlichen Spielzeug für gelangweilte Hobby-Hacker verwischen, zeigt das Tool "Netbus" von Carl-Fredrik Neikter. Es landete erstmals Mitte März 1998 in Schwedisch auf dem Netz und ist mittlerweile auch in Englisch, neuerdings als Version 1.7, verfügbar. Netbus gilt als Vorgänger von BO, seine Möglichkeiten sind jedoch weitreichender. Ebenso wie BO ein Trojaner, startet sich Netbus in der Regel beim Booten von Windows 95/98 oder NT selbst.
Auf dem infizierten System muß hierzu der Servercode ("patch.exe") einmalig zur Ausführung kommen. Natürlich läßt sich der Name des Servers ändern, so daß die Suche danach schwieriger wird. Wie bei BO muß also das Opfer den ersten Schritt aktiv, wenn auch häufig unfreiwillig selbst ausführen. Die entsprechenden BO-Tools zum Anhängen an harmlose Programme können auch hier zum Einsatz kommen; zum Testen kann man den Netbus-Server mit der Option /noadd starten, damit das System nicht dauerhaft befallen wird.
Daß Netbus auch zur Erheiterung – zumindest derjenigen des Angreifers – beitragen kann, zeigen Optionen zum Vertauschen der Maus-Buttons oder zum Verändern der Audio-Lautstärke auf dem Zielsystem. Spaßvögel können darüber hinaus den Schacht des CD-Laufwerks ein und ausfahren, über das eventuell eingebaute Mikrofon die Umgebungsgeräusche mitschneiden, bestimmte Tasten sperren oder das Hintergrundbild wechseln.
Ernster sind die "richtigen" Funktionen von Netbus einzustufen. Nachdem der Servercode auf dem Ziel-PC läuft, kann der Angreifer frei über die meisten PC-Ressoucen verfügen, dem Anwender über die Schultern sehen oder den Lauf der Dinge aktiv beeinflussen. Alle Tastatureingaben lassen sich so mitschneiden, egal ob es sich um die Details eines Angebots, das aktuelle Jahresbudget des Chefs oder die Paßworteingabe beim Online-Shopping handelt. Der Netbus-Server übermittelt sie einfach über Windows-API-Calls an den Eindringling weiter, in der Regel unbemerkt vom überwachten Anwender.
Ist eine Wunschapplikation nicht aktiv, so kann sie der Eindringling starten und auch gleich remote alle Eingaben, etwa zur Konfiguration, vornehmen. Fehlt gar die gewünschte Anwendung, so kann er sie auf das Zielsystem übertragen, installieren und hochfahren. Außerdem stehen ihm noch andere Möglichkeiten offen: Er kann Dateien löschen, Aktivitäten auf einem TCP-Port an einen anderen Host umleiten, per Telnet auf Konsolenapplikationen, etwa DOS-Kommandos, zugreifen oder Screendumps übertragen und als JPG-Dateien speichern. Für naive PC-User könnten die ausgesendeten Nachrichten zur Falle werden, insbesondere dann, wenn der Angreifer in einem Fenster Texteingaben erzwingt.