Big Brother Awards
quintessenz search  /  subscribe  /  upload  /  contact  
/q/depesche *
/kampaigns
/topiqs
/doquments
/contaqt
/about
/handheld
/subscribe
RSS-Feed Depeschen RSS
Hosted by NESSUS
<<   ^   >>
Date: 1998-08-13

Update: Testing Back Orifice


-.-. --.- -.-. --.- -.-. --.- -.-. --.- -.-. --.- -.-. --.-

q/depesche 98.8/13/1
updating 98.8.10/2

Update: Testing Back Orifice

Bei Viktor Mayer-Schönberger hat der Norton Virensucher Back
Orifice erkannt & Alarm geschlagen.
Bringt aber nix, meint Rudolf Vymazal (siehe unten).
Der allererste BO/Tester Markus Schwaiger hat das gerade
veröffentlichte Gegenmittel Toilet Paper 1.0 getestet.
Ergebnis @

http://www.msedv.co.at/security

Wir danken den drei Herren Testern im Namen der öffentlichen
Sicherheit.


-.-.- --.- -.-.- --.- -.-.- --.-
rvymazal@eunet.at wrote

> Up/date Back Orifice: *gefaehrlich*
> Inzwischen sind auch andere draufgekommen, dass
> der ominoese Sir Dystic vom Kult der Toten Kuehe keinen Hoax
> programmiert hat, sondern ein ziemlich ab/gedrehtes Tool.
> Bis jetzt hat keins der herkoemmlichen Viren/tools das
> trojanische Pferd gefunden.

Muss auch keiner.

Denn bei diesem Programm handelt es sich eben nicht
um einen Virus, sondern um eine ordnungsgemaess
programmierte Client-Server-Applikation.

Genauso wie WS-FTP, WIN-QVT, pc-anywhere,
diverse Webserver oder andere Kommunikationstools.

Warum sollte da ein Virenscanner ansprechen??

Die Auto-Installationsfunktion basiert, wie ich schon
in der eCE-List erlaeutert habe, auf einem M$-Feature,
das eben mitunter recht unwillkommene Ergebnisse
liefert.

Dass die Verwendung von allemal vorhandenen
Window$-APIs in kreativer Weise ausgereizt wurde,
kann man dem Programm ja auch nicht veruebeln.

Das entsprechende Tool zum Erkennen waere hier
ein Portscanner, der abklopft, ob BO die Tuer nach
aussen geoeffnet hat. Prinzipiell muesste auch der
Befehl "netstat -a" verdaechtige Denunziationen
des Programms anzeigen (oder die cowboys haben
sich in der Programmierung selbst uebertroffen).

Eine weitere Moeglichkeit der Identifikation besteht
anhand der Registry. Dort koennen unter einem
bestimmten Key selbststartende Dienste eingetragen
werden und dort ist auch erkennbar, ob BO
hineingepfuscht hat. Naehers dazu und zu BO allgemein
demnaechst wieder in der eCE-list.

Am Rande:

Uebrigens bin ich ueberzeugt, dass das Programm
durchaus auch von einigen Virenscannern angezeigt wird.
Naemlich von solchen mit heuristischer Suche. Was aber
nichts hilft.

Denn wird eine derartige Suche auf hoher Sensibilitaet
durchgefuehrt, dann zeigt sie auch
Windows-Kernel-Systemprogramme wie user.exe und
krnl386.exe als suspekt an.( Als haetten wir das nicht
schon immer geahnt ;-)

-.- --.- -.-.- --.- -.-.- --.-
TIP
Download free PGP 5.5.3i (Win95/NT & Mac)
http://keyserver.ad.or.at/pgp/download/

-.-.- --.- -.-.- --.- -.-.- --.-

- -.-. --.- -.-. --.- -.-. --.- -.-. --.- -.-. --.- -.-. --.-
edited by Harkank
published on: 1998-08-13
comments to office@quintessenz.at
subscribe Newsletter
- -.-. --.- -.-. --.- -.-. --.- -.-. --.- -.-. --.- -.-. --.-
<<   ^   >>
Druck mich

BigBrotherAwards


Eintritt zur Gala
sichern ...



25. Oktober 2023
#BBA23
Big Brother Awards Austria
 CURRENTLY RUNNING
q/Talk 1.Juli: The Danger of Software Users Don't Control
Dr.h.c. Richard Stallman live in Wien, dem Begründer der GPL und des Free-Software-Movements
 
 !WATCH OUT!
bits4free 14.Juli 2011: OpenStreetMap Erfinder Steve Coast live in Wien
Wie OpenStreetMaps die Welt abbildet und was ein erfolgreiches Crowdsourcing Projekt ausmacht.