Skoči na vsebino

SI-CERT 98-02 / MS Windows trojanski konji (BackOrifice in NetBus)

BackOrifice (BO)

Skupina hekerjev z imenom Cult of the Dead Cow na Internetu objavila program za MS Windows 95 in 98, ki nastavi stranska vrata in omogoca nepooblascenim osebam dostop do vseh podatkov na racunalniku. Program morate najprej instalirati na vasem racunalniku, uporabniki pa nam sporocajo, da jim program “podtaknejo” preko elektronske poste ali IRC; obicajno predstavijo program kot koristno orodje ali nadgradnjo IRC klienta.

Podtaknjeni program se imenuje BackOrifice Server in po instalaciji sprejema zveze na poljubnem portu (obicajno port 31337, vendar lahko “vlomilec” stevilko porta spremeni). Kdorkoli ve IP stevilko vasega racunalnika, port na katerem poslusa BO Server na vasem racunalniku in pripadajoce geslo za BO Server, lahko preko BO odjemalca izvaja poljubne ukaze na vasem racunalniku, zazene servise, spreminja Windows register in drugo.

Kako odkriti, ali imate program BO na sistemu

BO Server pri instalaciji naredi sledece:

  • sam program se naseli na sistemskem direktoriju (obicajno C:WindowsSystem) z imenom ” .exe” (presledek s podaljskom EXE), ali pod imenom, ki ga je predhodno podal vlomilec;
  • Spremeni (oz. ustvari nov) kljuc registraHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices

    z imenom “(Default)” ali imenom, ki ga je podal vlomilec, vrednost pa predstavlja ime BO Serverja na sistemu, ki naj se zazene pri zagonu sistema;

  • BO Server nato sprejema klice preko omrezja na UDP portu 31337 (vrednost lahko vlomilec predodno spremeni).

Prisotnost BO lahko preverite na sledec nacin:

1.Zazenite program regedit (C:Windowsegedit.exe)

2.Preverite nastavitve kljuca

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices

Ce se med programi navedenimi v zgornjem kljucu nahaja program, katerega velikost je 124,928 bytov (velikost lahko odstopa za cca. 30 bytov v eno ali drugo smer), potem je verjetno, da gre za BackOrifice.

Dodatno lahko peverite, ali vas racunalnik sprejema zveze na UDP portih z uporabo programa netstat, ki je del Windows sistema; v MS-DOS oknu izvedite ukaz:

C:WINDOWS>netstat -an | find “UDP” UDP 0.0.0.0:31337 *:*

V zgornjem primeru lahko vidite, da nek servis sprejema zveze na UDP portu 31337. Stevilko porta vlomilec lahko spremeni v programu, ki vam ga je poslal, zato bodite pozorni tudi na druge stevilke portov.

Odstranjevanje BackOrifice

Ce ste z zgoraj opisanim postopkom nasli BO na svojem racunalniku, izbrisite program (obicajno se nahaja v imeniku C:WindowsSystem, in spremenite vrednost navedenega kljuca v Windows registru (izbrisite vrednost). Predvsem pri slednjem svetujemo previdnost, saj ima lahko spremba napacnega kljuca v registru obsezne posledice za Windows operacijski sistem.

Opozarjamo vas tudi na to, da je mogoce, da je vlomilec v casu delovanja BO nastavil dodatna stranska vrata v vas sistem. Priporocamo tudi spremembo vseh gesel, ki jih uporabljate za dostop do Interneta.

Na Internetu je na voljo tudi program imenovan BoSniffer, ki naj bi odstranjeval BackOrifice, dejansko pa je to le BckOrifice pod zavajajocim imenom, zato ga nikakor ne instalirajte!

Nadaljnje informacije o odstranjevanju so na voljo na naslovu http://www.nwi.net/~pchelp/bo/bo.html.

NetBus

NetBus je program, ki omogoca vlomilcu podoben dostop do vasega racunalnika, kot BackOrifice.

Kako odkriti, ali imate program NetBus na sistemu

NetBus uporablja TCP za komunikacijo – vedno pa sprejema zveze na portih 12345 in 12346. Podobno kot pri BO lahko preverite, ali kaksen program na teh portih dejansko poslusa z ukazom:

C:WINDOWS>netstat -an | find “12345”

Nato lahko zazenete se ukaz telnet localhost 12345; ce povezava uspe in vidite niz “NetBus 1.53” ali “NetBus 1.60 x”, potem je NetBus instaliran na vasem racunalniku.

Odstranjevanje NetBus-a

Navodila za odstranjevanje za obe zgoraj navedeni verziji programa NetBus so na voljo na http://www.nwi.net/~pchelp/nb/netbus.htm

Verzijo 1.60 lahko odstranite tudi tako, da izvedete zgoraj opisano telnet zvezo na port 12345, nato vpisete Password;1; (in pritisnete Enter), nato pa se RemoveServer;1 (in zopet zakljucite ukaz z Enter).

Zaključek

Oba zgoraj opisana programa, kot tudi vsi trojanski konji in nekateri programi, ki postavljajo stranska vrata, se naslanjajo na prelisicenje uporabnika, ali pa izrabljajo njegovo pretirano zaupanje pri sprejemanju programov preko omrezja (bodisi elekronske poste, IRC, pa tudi preko svetovnega spleta). Vsem uporabnikom svetujemo, naj bodo skepticni do programov, ki jih posljejo neznane osebe preko elektronske poste, ali na kaksen drugacen nacin po omrezju. Programe in nadgradnje le-teh vedno poiscite na uradnih spletnis straneh podjetja, ki program izdeluje.

Reference

Cult of the Dead Cow The Back Orifice “Backdoor” Program BoDetect AntiGen (BackOrifice Removal)

Preberite tudi

SI-CERT 2020-07 / Zlonamerna koda v potvorjenih sporočilih v imenu NLB

Večje število slovenskih uporabnikov je danes prejelo potvorjeno elektronsko sporočilo, v imenu NLB banke. V priponki se nahaja zlonamerna koda LokiBot
Več

SI-CERT 2020-06 / Kritična ranljivost Windows DNS strežnika

Kritična ranljivost Windows DNS strežnika omogoča zagon poljubne kode na daljavo s pravicami uporabnika Local System Account.
Več

SI-CERT 2020-05 / Lažno sporočilo NIJZ

Na večje število slovenskih elektronskih naslovov je poslano sporočilo z zadevo "Distribucija zaščitne opreme Covid-19 (Ministrstvo za zdravje Slovenija) Junij 2020". Sporočilo vsebuje zip arhiv.
Več