Back Orifice

Mauro Sergio Vosgrau do Valle - GSO

Não! Não é erro de impressão não! O nome é este mesmo. Back Orifice (? BO). E não é Microsoft. Após quase um ano de calmaria, isto é, sem muita novidade em ataques contra produtos Microsoft desde o ano passado, quando do aparecimento do WINNUKE e outros bichos que literalmente "detonavam" os usuários menos avisados de Windows NT e Windows 95, agora surge um outro Software que pode ser uma verdadeira "pedra no sapato" de usuários Windows.

Conhecidos por suas "genialidades" ou "imbecilidades", os hacker´s procuram superar-se a cada nova investida.

Anunciado no DEFCON 6 em LAS VEGAS em um encontro "underground" de : Hackers, Phreaks, Hammies, Virii Coders, Programmers, Crackers, Cyberpunk Wannabees, Civil Liberties Groups, CypherPunks, Futurists, Artists, and Hearing Impaired.

Cuidado!! Você pode estar sendo monitorado! Ou espionado! O produto (se é que se pode chamar de produto) tem características interessantes do ponto de vista de programação. De estrutura Cliente Servidor, ele se instala no servidor (qualquer máquina Win95 ou 98) e fica camuflado, não aparecendo na lista de programas ativos (CTRL+ALT+DEL). Uma vez instalado o agente no Server, uma máquina Cliente agora está apta a :

Controlar partes do sistema operacional como:

  • File system
  • Registry
  • System
  • Passwords
  • Network
  • Processos

- BO permite controle multimídia, permitindo captura de imagens de uma máquina Server ou de uma câmera de vídeo conectada à maquina.

- BO possui um HTTP server, permitindo uploads and downloads de arquivos "de" e "para" uma máquina com http cliente.

- BO tem um packet sniffer integrado, permitindo monitorar o tráfego de rede.

- BO tem um monitor de teclado, permitindo gravar em um arquivo de LOG.

- BO permite redirecionamento de aplicações, fazendo com que aplicações baseadas em interface "texto" sendo executadas na máquina "server" sejam controladas por simples sessão TELNET, abrindo um SHELL remoto.

- BO tem uma interface do tipo "plugin", permitindo a adição de módulos escritos por terceiros e executados no processo escondido do ? BO.

- BO é ENCRYPTED! Os pacotes de comunicação usados pelo Back Orifice são encriptados com chave definida pelo usuário e somente entendida pelo cliente.

- BO é FREE! Todas as funcionalidades mencionadas e muito mais estão disponíveis em apenas 120k de programa.

Por todas estas características, o melhor é prevenir-se. Evite deixar que outros tenham acesso à sua máquina, pois uma vez instalado, para o usuário é transparente, até começar a acontecer os problemas. A ação do agente em sua máquina pode ser detectada pela localização de uma arquivo executável (.exe) se este já se instalou.

Vale a pena proteger-se do acesso de intrusos pelo estabelecimento de senha de acesso colocada no SETUP da máquina. Não é uma medida 100% segura mas já dificulta. Também considera-se a substituição de Win95 por NT Workstation uma boa opção!

Fique alerta!!!