|
|
Viren : Virenkatalog
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
0-9
Trojan.Win32.BackOrifice-2K
Trojan.Win32.BackOrifice-2K (BO2K) ist ein Remote Control Tool, mit dem auf fremde Systeme zugegriffen werden kann.
Primär ist der BO2K mit Leistungsmerkmalen wie sein Vorgänger, der BO, ausgestattet, er verfügt allerdings über mehr Features, es wurden
viele Bugs ausgebessert und er läuft, im Gegensatz zur Ursprungsversion, die ausschließlich auf Windows95 lief, auch unter Windows98
und NT. Hinzu kommt eine übersichtliche und einfach zu bedienende Oberfläche, die es auch weniger "routinierten" Anwendern erlaubt mit
dem Tool zu arbeiten.
Wie beim alten BO konfiguriert man zuerst einen BO2K-Server. Dieser Server bietet nun die Möglichkeit eine eigene EXE Datei zu patchen.
Diese Datei ist der eigentliche Trojaner, und somit auch der Teil des BO2K, der distributiert wird um andere Systeme zu infiltrieren.
Remote-Installation dieser EXE, und somit des Trojaners, ist nach wie vor nicht möglich.
Man kann BO2K dabei so konfigurieren, daß er bei jedem Neustart aktiv wird und seine Prozesse dabei im Verborgenen bleiben, womit der
Trojaner vermeintlich unsichtbar bleibt! Dabei versucht der BO2K auch alle Spuren zu verwischen, indem er versucht die Startdateien, mit
denen er aktiviert wurde, zu löschen. Dies gelingt dem Trojaner allerdings nicht immer. Wesentlich perfider ist da schon die Möglichkeit, daß
er besagte Startdatei unter beliebigen Namen im System-Verzeichnis verstecken kann.
Der Datentransfer, also etwa das Absaugen von Dateien oder Passwörtern, kann entweder XOR oder 3DES verschlüsselt werden. Dafür ist
aber ein mindestens 14 Zeichen langes Passwort nötig. Man muß dieses Passwort auch wissen, um sich mit dem BO2K-Server zu verbinden.
Ein kleiner Auszug aus der Featureliste bestätigt, wie umfangreich und durchdacht der BO2K tatsächlich ist:
-Datei/Verzeichnis Manipulationen (Umbenennen, Löschen, Verschieben, Kopieren, Anzeigen, Senden, Empfangen, ...)
-System rebooten
-Passwörter die vom Windows-System gecached sind auslesen
-Tastatureingaben mitprotokollieren
-eine Messagebox ausgeben
-Freigaben erstellen und entfernen
-Prozesse starten und stoppen
-Registry auslesen und verändern
-angeschlossene Video-Geräte capturen (Web-Cam ...)
-Screenshots machen
-BO2K-Plugins laden/entladen...
-Theoretisch kann man für den BO2K auch eigene PlugIn's schreiben um die Funktionalität des BO2K um jeweils individuelle
-Bedürfnisse zu erweitern.
Mit einem mitgelieferten Plugin kann beobachtet werden, was der User gerade macht (etwa wie im Remote Control Programm PC-Anywhere). Mit dem gleichen Plugin kann auch die Kontrolle über diesen Rechner übernommen werden.
Das Gefährliche am BO2K ist, daß die einzige, relativ kleine (ca. 140KB) EXE-Datei, die für den BO2K-Server notwendig ist, sehr leicht als
Trojaner verwendet werden kann.
Ansonsten ist es ein sehr kleines praktisches Remote-Admin-Tool um ein Netzwerk zu administrieren. Die Tatsache, daß der BO2K ein
eigenes TCP/UDP-Port benötigt, läßt ihn aber bei einer gut konfigurierten Firewall abblitzen. Sollte jedoch ein Standard Port, á la HTTP Port
80, verwendet werden, so wird ihn auch die beste Firewall nicht stoppen können.
Dennoch benötigt der vermeintliche Angreifer bestimmte Informationen, um sich mit einem BO2K-Server zu verbinden. Diese sind:
die IP-Adresse des Rechners,
der Port, auf dem der BO2K wartet,
das Passwort, mit dem der BO2K den Datentransfer verschlüsselt und
die Verschlüsselungsart (zur Zeit XOR oder 3DES).
Hat er diese jedoch erhoben, steht einer Übernahme der völligen Kontrolle der infiltrierten Systeme nichts mehr im Wege.
Grundsätzlich kann der BO2K ein Netzwerk nicht von "selbst" infizieren. Er benötigt dazu die Hilfe eines Anwenders, der diesen unbewußt
startet oder eines Hackers, der den BO2K in dem System in Umlauf bringt.
Der BO2K verfügt über keinerlei eigentliche Schadensfunktion, etwa daß er von sich aus Daten löscht oder manipuliert. Er ist einfach ein Remote-Control Programm, mit dem bestimmte Aktivitäten im Netzwerk entfaltet werden können.
Ob diese mit Schadenswirkungen verbunden sind, hängt dabei primär von den Handlungen desjenigen ab, der mit Hilfe des Backdoorprogramms die Kontrolle über befallene PC´s erhalten hat.
|
|
Linktipps: Hanse 531 Charter
|
|
|
|
