Izberite jezik

SI-CERT 99-02 / Nova trojanska konja za MS Windows operacijske sisteme (BackOrifice 2000, Girlfriend)

09.08.1999

BackOrifice 2000

BackOrifice 2000 je novejša in "izboljšana" verzija programa BackOrifice (glej SI-CERT obvestilo 98-02). Program omogoča oddaljen nadzor nad računalnikom in je sestavljen iz strežniškega dela (BO server) in odjemalca (BO client). Najbolj pogosto se BackOrifice strežnik uporablja kot trojanski konj, t.j. podtakne se uporabniku kot koristen program oz. pripomoček. Ko uporabnik zažene prejeti program, se ta namesti na sistemu in omogoča dostop do vseh podatkov na računalniku.

Girlfriend

Glavna funkcija tega trojanskega konja je zapisovanje gesel, ki jih uporabnik okuženega računalnika vnaša v različne aplikacije (kar vključuje tudi "omrežje na klic", oz. geslo za priklop na internet in gesla za dostop do zaščitenih spletnih strani). Običajno se program namesti na UDP port 21554. Ročno lahko preverite, ali ste okuženi z Girlfriend tako, da zaženete "Registry Editor" (Start->Run, vpišete regedit.exe in pritisnete OK) in preverite, ali v registru obstaja ključ

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunWindll.exe

z vrednostjo "windll.exe". Če ključ obstaja, potem ste okuženi.

Zaključek

Trojanski konji se širijo na podoben način kot računalniški virusi in v skoraj vseh primerih mora uporabnik računalnika pred okužbo zagnati določen program, ki mu je poslan preko omrežja (bodisi kot pripona elektronski pošti, ali pa mu je program ponujen preko IRC). Zato svetujemo vsem uporabnikom, naj bodo izjemno previdni pri zaganjanju pripon elektronske pošte. Poleg tega svetujemo tudi redno pregledovanje računalnika s kakšnim od antivirusnih programov.

ARNES SI-CERT se zahvaljuje za pomoč Damjanu Lebanu, Knjižnica CK Tolmin za izčrpno pomoč.

Reference

McAfee ViruScan On-Line Version (omogoča pregled vašega računalnika preko spletnega pregledovalnika) F-PROT, opis BackOrifice 2000 v slovenščini