Skoči na vsebino

SI-CERT 99-02 / Nova trojanska konja za MS Windows operacijske sisteme (BackOrifice 2000, Girlfriend)

BackOrifice 2000

BackOrifice 2000 je novejša in "izboljšana" verzija programa BackOrifice (glej SI-CERT obvestilo 98-02). Program omogoča oddaljen nadzor nad računalnikom in je sestavljen iz strežniškega dela (BO server) in odjemalca (BO client). Najbolj pogosto se BackOrifice strežnik uporablja kot trojanski konj, t.j. podtakne se uporabniku kot koristen program oz. pripomoček. Ko uporabnik zažene prejeti program, se ta namesti na sistemu in omogoča dostop do vseh podatkov na računalniku.

Girlfriend

Glavna funkcija tega trojanskega konja je zapisovanje gesel, ki jih uporabnik okuženega računalnika vnaša v različne aplikacije (kar vključuje tudi "omrežje na klic", oz. geslo za priklop na internet in gesla za dostop do zaščitenih spletnih strani). Običajno se program namesti na UDP port 21554. Ročno lahko preverite, ali ste okuženi z Girlfriend tako, da zaženete "Registry Editor" (Start->Run, vpišete regedit.exe in pritisnete OK) in preverite, ali v registru obstaja ključ

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunWindll.exe

z vrednostjo "windll.exe". Če ključ obstaja, potem ste okuženi.

Zaključek

Trojanski konji se širijo na podoben način kot računalniški virusi in v skoraj vseh primerih mora uporabnik računalnika pred okužbo zagnati določen program, ki mu je poslan preko omrežja (bodisi kot pripona elektronski pošti, ali pa mu je program ponujen preko IRC). Zato svetujemo vsem uporabnikom, naj bodo izjemno previdni pri zaganjanju pripon elektronske pošte. Poleg tega svetujemo tudi redno pregledovanje računalnika s kakšnim od antivirusnih programov.

ARNES SI-CERT se zahvaljuje za pomoč Damjanu Lebanu, Knjižnica CK Tolmin za izčrpno pomoč.

Reference

McAfee ViruScan On-Line Version (omogoča pregled vašega računalnika preko spletnega pregledovalnika) F-PROT, opis BackOrifice 2000 v slovenščini

Preberite tudi

SI-CERT 2020-07 / Zlonamerna koda v potvorjenih sporočilih v imenu NLB

Večje število slovenskih uporabnikov je danes prejelo potvorjeno elektronsko sporočilo, v imenu NLB banke. V priponki se nahaja zlonamerna koda LokiBot
Več

SI-CERT 2020-06 / Kritična ranljivost Windows DNS strežnika

Kritična ranljivost Windows DNS strežnika omogoča zagon poljubne kode na daljavo s pravicami uporabnika Local System Account.
Več

SI-CERT 2020-05 / Lažno sporočilo NIJZ

Na večje število slovenskih elektronskih naslovov je poslano sporočilo z zadevo "Distribucija zaščitne opreme Covid-19 (Ministrstvo za zdravje Slovenija) Junij 2020". Sporočilo vsebuje zip arhiv.
Več