|
<<
^
>>
Date: 1998-08-05
Testing Back Orifice: "Klein, geil, gefährlich"
-.-. --.- -.-. --.- -.-. --.- -.-. --.- -.-. --.- -.-. --.-
q/depesche 98.8.5/2
updating 98.8.5/1
Back Orifice: "Klein, geil, gefährlich"
Sagt der erste Evaluator des seit Mitternacht weltweit frei
verfügbaren Programms der cultdeadcow/hacker.
von Markus Schwaiger ms@msedv.co.at
Wie schon vermutet ein Trojan Horse, d.h., einmaliger
Zugriff auf den
Rechner (das Trojanische Pferd läuft übrigens im Moment nur
unter 95 und
98; der Client dafür auf jeder beliebigen Windows- oder
DOS-Plattform)
notwendig. Der BO-Server kann aber so vorkonfiguriert
werden, daß man auf
dem Ziel nur ein paar Sekunden braucht um ein 125KB-EXE von
Diskette oder
aus dem Netzwerk zu starten.
Danach hat man allerdings die totale Kontrolle über das
System, wenn auch
mit einer relativ unhandlichen Schnittstelle; Schwerpunkt
wurde hier
eindeutig auf Netzwerk- und Spionagefunktionen gelegt und
nicht auf die
Verwendung als Helpdesk-Programm.
Ein paar (exemplarische) Features:
* BO ist mit der Intention konstruiert worden, möglichst
unauffällig zu
arbeiten, d.h., keine Rückmeldungen, keine sichtbaren
Eingriffe ins System,
sehr niedrige Rechnerbelastung, das (sehr kleine) EXE-File
kann jeden
beliebigen Namen tragen etc.
* Der für die Kommunikation zu verwendende Port kann
ebenfalls frei
konfiguriert werden, d.h., bei Vorhandensein eines Firewalls
kann man sich
einen freigegebenen Port suchen.
* Spezielle "Passwort-Klau-Funktionen", die z.B. sämtliche
für
Internet-Zugänge, Mail-Programme oder WWW-Pages
gespeicherten Passwörter
_entschlüsseln_ können.
* Es können auf dem Zielrechner Dateien gesucht und
beliebige Dateien zum
kontrollierenden Rechner übertragen werden.
* Es können Screenshots bzw. sogar Screencams (Videos) vom
Zielsystem
angefertigt, beliebige Programm gestartet, Registry-Einträge
abgefragt und
angefertigt werden etc.
* Es können Meldungen ausgegeben, das System gesperrt oder
rebootet,
Systeminformationen angezeigt werden.
* Es können die Tastatureingaben der Windows-Applikationen
(nicht DOS)
mitprotokolliert werden - eine weitere Möglichkeit,
Passwörter auszuspähen!
* Über eine eigene PlugIn-Schnittstelle können
selbstgeschriebene DLL's für
beliebige weitere Aufgaben eingehängt werden.
* Das Programm kann in andere Programme eingebettet und dann
beispielsweise
als Utility (siehe T-Online-Hack), Screensaver etc.
distributiert werden.
Dann braucht man nur noch die TCP/IP-Adresse des Systems und
es kann
losgehen...
Summa summarum: BO ist nicht "ultra-gefährlich", da es um
die üblichen
Beschränkungen - "einmaliger Zugriff auf den Rechner" und
"TCP/IP-Adresse
und verwendbarer Port müssen gefunden werden" nicht
herumkommt. In dem
Moment, wo BO allerdings sich einmal eingenistet hat ist
dieser Rechner ein
offenes Buch!
Wenn man weiß, wonach man suchen muß, hat man BO allerdings
relativ schnell
identifiziert und (nach einem Reboot) wieder vom Rechner
entfernt.
Source
http://www.msedv.co.at/
-.-.- --.- -.-.- --.- -.-.- --.-
TIP
Download free PGP 5.5.3i (Win95/NT & Mac)
http://keyserver.ad.or.at/pgp/download/
-.-.- --.- -.-.- --.- -.-.- --.-
- -.-. --.- -.-. --.- -.-. --.- -.-. --.- -.-. --.- -.-. --.-
edited by Harkank
published on: 1998-08-05
comments to office@quintessenz.at
subscribe Newsletter
- -.-. --.- -.-. --.- -.-. --.- -.-. --.- -.-. --.- -.-. --.-
<<
^
>>
|
|
|
|