NetBus是一款与Back Orifice类似的网络特洛伊木马程序,通过开放后门实现远程控制,控制者可执行控制鼠标、播放声音、打开光驱、删除文件等操作。
NetBus比Back Orifice更强大,能控制Windows NT系统,最初版本发布于1998年3月,常用版本有1.60和1.70。此外,存在模仿NetBus的蜜罐服务,如NetBuster,用于安全检测。[1]
NetBus由客户端程序(netbus.exe)和服务器端程序(如patch.exe)组成,其植入依赖于用户无意中运行伪装成正常程序的木马。
1.70版本允许改变端口号以增强隐蔽性,并具备重定向功能可通过被控主机间接操控内网其他设备。
例如,Nmap脚本netbus-version可用于检测模仿NetBus的蜜罐服务NetBuster。其使用示例如:nmap -sV -p 12345 --script netbus-version。若检测到目标,脚本会输出类似12345/tcp open netbus Netbuster (honeypot)的结果[1] 。
NetBus的最初版本发布于1998年3月,近来使用较多的是NetBus 1.60和NetBus 1.70。NetBus比Back Orifice更方便使用也更强大(当然也更危险)--至少它也同样能控制NT(Back Orifice不能)。NetBus被模仿用于蜜罐服务NetBuster。[1]
NetBuster是一个蜜罐服务,其行为模仿NetBus。通过nmap脚本netbus-version可以检测NetBuster,脚本输出示例如:12345/tcp open netbus Netbuster (honeypot)。[1]