Известная хакерская группа "Культ мертвой коровы" выпустила "лазейку" к Windows 95/98 известную как 'Back Orifice' (BO). Эта лазейка позволяет неавторизованным пользователям выполнять привилегированные операции на инфицированной машине. Back Orifice оставляет следы своего существования и может быть обнаружен и удален.
Существует также программа, доступная по Интернет и называемая NetBus по возможностям схожая с BO и, в некоторых случаях, превосходящая BO. Хотя NetBus известен давно, его широкое использование в качестве хакерского инструмента не отмечалось до последнего времени. В отличие от BO, NetBus также работает и на NT.
Описание:
"Лазейка" - программа разработанная для скрытия себя в компьютере. Обеспечивает внедрившему последующий доступ к системе в обход обычной авторизации или с использованием уязвимых мест системы.
Алгоритм:
BO - лазейка разработанная для Windows 95/98. Раз инсталированная, она позволяет любому, знающему порт доступа и пароль BO, удаленно управлять компьютером. Подключиться к серверу BO можно используя клиента, работающего в текстовом или графическом режиме. Сервер BO позволяет подключившемуся выполнять команды, просматривать файлы, изподтишка запускать сервисы, загружать и выгружать файлы, управлять регистром, уничтожать процессы, просматривать из список, и многое другое.
NetBus позволяет удаленному пользователю выполнять большинство функций BO, а также открывать/закрывать CD-ROM, вести диалог в chat, прослушивать системный микрофон (при его наличии), и ряд других функций.
Определите, установлен ли BO на Вашей машине:
Сервер BO при инсталировании на машине выполняет следующее:
* Устанавливает копию сервера BO в системной директории (c:\windows\system) либо как " .exe" либо с другим, указанным при генерации, именем.

* Создает ключ в регистре HKEY_LOCAL_MACHINE SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
с именем сервера и описанием поля либо "(Default)" либо со значением, указанным при генерации.

* Сервер начинает слушать UDP порт 31337, либо порт указанный при генерации. Вы можете настроить RealSecure для контроля сетевого трафика по стандартному порту UDP 31337 для возможного предупреждения. Чтобы определить уязвима ли Ваша система:

1. Запустите regedit (c:\windows\regedit.exe)
2. Найдите ключ в разделе HKEY_LOCAL_MACHINE SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices.
Поищите любые подозрительные файлы которые,как Вам кажется, не Вы инсталировали. Если длина одного из этих файлов близка к 124 928 возможно это и есть BO. Вы также можете использовать программу netstat, идущую в поставке Windows для проверки системы на уязвимость. 'netstat -an' покажет все соединения и слушающие порты, т.о. можно обнаружить открытые "лишние" UDP порты и предпринять соответствующие действия.

Например, в ответ на команду
C:\WINDOWS>netstat -an | find "UDP"
UDP 0.0.0.0:31337 *:*
В этом примере Вы видите UDP сервис слушающий порт 31337. Это Back Orifice. Необязательно это может быть 31337, поэтому, если Вы видите что-то подозрительное - проверьте registry.

Определите, установлен ли NetBus на Вашей машине:
NetBus использует для соединения TCP и всегда использует порты 12345 и 12346. netstat покажет Вам инсталирован ли NetBus на Вашей машине, если Вы введете команду 'netstat -an | find "12345"'. Затем, запустите программу telnet и подключитесь к 'localhost' к порту 12345. Если NetBus установлен, Вы получите строку похожую на 'NetBus 1.53' или 'NetBus 1.60 x'. Протокол NetBus нешифрован, команды имеют простой формат: имя команды, точка с запятой, и затем аргументы команды разделенные точками с запятой.
На NetBus сервер можно установить пароль, в этом случае он хранится в HKEY_CURRENT_USER\Patch\Settings\ServerPwd в виде обычного текста.

X-Force обнаружили, что у самого NetBus имеется лазейка, позволяющая кому-либо подсоединяться к серверу без пароля. Когда клиент посылает пароль на сервер, он отсылает строку похожую на 'Password;0;my_password'. Если клиент использует 1 вместо 0, он авторизуется без пароля. По умолчанию, сервер NetBus называется 'Patch.exe', но он может быть и переименован.
Рекомендуемые действия:
От BO можно избавиться удалив сервер и его вход в registry. По возможности, следует сохранить все важные данные, отформатировать Ваш диск и переустановить все матобеспечение на Вашей машине. Однако, если уж кто-то установил BO на Вашей машине, это может быть только частью дыры пробитой в Вашей защите. Вы можете удалить установленный NetBus 1.6 подключившись к машине по порту 12345 и введя 'Password;1;' затем набрать 'RemoveServer;1' и нажать Enter. Затем вы отключитесь от NetBus и сервер будет заблокирован. Вы можете затем удалить Patch.exe из директории Windows, если хотите полностью удалить NetBus. Этот метод сработает даже при установленном пароле, однако, он не подходит для версий 1.5x.

Определение пароля и конфигурации инсталированного BO:
1. Используя текстовый редактор, например, notepad, посмотрите на exe-файл сервера.
2. Если последняя строка файла '88$8(8,8084888<8@8D8H8L8P8T8X8\8'8d8h8l8', значит сервер использует "стандартную" конфигурацию. В противном случае, конфигурация будет находиться в последних строках файла.
 

Plugin'ы к back Orifice: Существует несколько plugin'ов к BO, именуемые 'BUTTplugs' и используемые для улучшения функционирования BO. В настоящее время на странице cDc доступны четыре plugin'а. Эти plugin'ы информируют атакующего посредством e-mail или IRC, что BO инсталирован. Есть также plugin для внедрения BO в любую программу, чтобы легче одурачить запустившего ее.

Speakeasy - IRC plugin который внедряется в сервер и рассылает IP адрес машины.
Silk Rope - привязывает Back Orifice почти к любой существующей программе.
Saran Wrap - прячет Back Orifice в стандартную мастер инсталяции "InstallShield"
Butt Trumpet - отсылает атакующему e-mail с IP-адресом машины после инсталяции BO.
Обнаружители BO - трояны:
Существует программа называемая BoSniffer распространяемая в Internet и якобы предназначенная для обнаружения и удаления BO из Вашей системы. На самом деле это обычный Back Orifice, и Вам не следует использовать эту программу. Избегайте использовать лечилки к BO из непроверенных источников. Эти лечилки распространяются под именами bosniffer.exe и bosniffer.zip.
В заключение:
Back Orifice обеспечивает легкий путь атакующему внедрить лазейку в выбранную машину. Аутентификация и шифрование, используемое в BO, достаточно просты, поэтому, администратор может определить какая именно информация отсылается через BO. Back Orifice может быть обнаружен и удален. Эта лазейка работает только на Windows 95 и Windows 98, по крайней мере пока, и не работает на NT. NetBus обеспечивает большие возможности, чем BO и работает на NT, но его легче обнаружить, чем BO т.к. он всегда использует TCP порт 12345 и выдает заставку с номером версии, когда к нему подключаешься telnet'ом.
Но это только пока!! Удачи!!