Back Orifice
Un gruppo di hacker conosciuto come il cult of the Death cow
(cDc, o il Culto per la mucca morta) ha rilasciato un programma
back door per Windows 95/98 chiamato Back Orifice (BO), che
consente ad utenti non autorizzati di eseguire operazioni
privilegiate sulla macchina su cui si trova. BO lascia traccia
della sua presenza e può essere rilevato e rimosso e il
protocollo di crittazione che usa è stato rotto dalla Internet
Security Systems X-Force.
Come funziona
Tutti i programmi back door per Windows si basano sulla stessa
idea: un 'cavallo di Troia da far installare involontariamente
sul computer vittima che opera come un server, pronto ad
accettare il pirata che s'i collega con la giusta password per
entrare in funzione.
Tra le funzioni che Back Orifice mette a disposizione
dell'intruso ci sono: esecuzione di comandi, vedere, uploadare e
downioadare file, condividere directory, manipolare il registry,
chiudere programmi, come se tutto fosse fatto in locale.
Individuiamolo
la IIS X-Force sta mettendo a punto un software, il RealSecure
2.5, che rileverà e notificherà qualsiasi attività di BO sulla
rete, indicando anche la porta usata sui pc "infetti".
Non è necessario, comunque, ricorrere ad un programma apposito
per verificarne la presenza, basta sapere come si comporta quando
si installa, ossia:
- si posiziona nella directory di sistema (solitamente
c:Wndows-System) come file exe, il cui nome è spesso dato dal
pirata che ha preparato il Back Orifice;
- crea una chiave con percorso
KEY-LOCAL-MACHINE~SOFTWARE-Microsoft-Windows-CurrentVersion-RunServices
e in ultimo il nome dei file exe, scrivendo pure una descrizione,
di default o specificata dal pirata
- inizia l'ascolto (listening) sulla porta UDP 31337 dei pc
vittima, o comunque su una porta User Datagram Protocol indicata
dall'hacker.
RealSecure funziona collegandosi sulle porte UDP per ascoltare se
passano bit che possono essere rivolti al server di BackOrifice.
Per verificare se il nostro pc è stato Infettato, è
sufficiente:
- avviare il programma RegEdit (c:Wndows-regeditexe):
- accedere alla chiave
KEYLOCAL_MACHINE\SOFTWARE\micorsoft\Windows\CurrentVersion\RunServices;
-controllare qualsiasi file exe qui con questo percorso, andando
a controllare se occupa circa 30 Kbyte (potrebbe essere BO);
Un altro modo consiste nell'andare in Prompt di Ms-Dos e, nella
cartella Windows, usare il comando netstat-an, che mostra tutte
le porte chiamate un qualche programma:
c:\Windows>netstat -an I find "UDP"
se il risultato è 'UDP0-0.0.031337*:*" significa che
qualcuno sta usando la porta 31337, dunque è consigliabile
controllare il registry.
Se trovaste BO sulla vostra macchina e voleste trovarne la
configurazione con un editor di testi aprite il file
<server>.exe e andate a controllare le uitime righe.
Se l'ultima in assoluto è
"88$8(8,8084888<88d8h8l8p8t8x8\8'8d8h818", allora il
server sta utilizzando la configurazione di default.
In ogni caso, nelle linee appena sopra, in questo ordine sono
riportate:
a) nome file
b) descrizione dei servizio
c) numero della porta usata
d) password
e) informazioni su eventuali plug-in.
I plugin disponibili al momento sono quattro:
Speakeasy (un plu-in che si coIlega segretamente ad un
server predefinito e l'indirizzo ip dei pc vittima)
Silk Rope (crea un collegamento tra Back Orifice e la
maggior parte di programmi esistenti)
Saran Wrap (fonde BO in un programma che fungerà da
'cavallo di Troia" tramite un lnstallShield)
Butt Trumpet (invia all'hacker l'indirizzo ip dei pc
"Trojan")