Vírus
e cia. / Backdoors
Invasão - Back Orifice ( BO )
O Back Orifice (BO)
é um pequeno programa de
administração remota, ou
seja, possibilita que o controle de um computador à
distância.
O programa BO
Server foi feito por um grupo denominado "Cult Of
The Dead Cow"
(cDc), tendo sido lançado em 21/08/98. O nome é
uma
sátira
à suite de programas de escritório da Microsoft
chamada
Office.
Recentemente foi lançada a segunda versão do
programa
(BO2k).
Praticamente abre
toda a segurança de um computador, possibilitando que uma
pessoa
conectada à Internet tenha acesso total aos recursos de uma
outra
máquina.
Uma vez instalado,
involuntariamente,
em um computador, permite que qualquer usuário de posse do
programa
BO Client possa invadir aquela máquina sem o dono saber,
enquanto
estiver conectado à net e possa fazer qualquer coisa que o
dono
possa fazer localmente, por exemplo:
· Abrir
aplicações
para uso remoto por meio de telnet
· Criar /
listar / deletar pastas
· Copiar
/ deletar / procurar / compactar / descompactar / ver arquivos
· Abrir /
fechar servidor HTTP
· Logar
pressionamento
de teclas
· Permitir
vários métodos para captura de tela (inclusive
criação
de .AVIs)
· Algumas
funções de Rede (conexões ativas, por
exemplo)
· Ping Host
· Listar
/ desligar / criar Process (Aplicativos)
·
Várias
funções no registro
· Abrir caixa
de Dialogo (similar à de erro do Windows)
· Travar
o computador
· Reiniciar
(Rebootar) o computador
· Mostrar
senhas (passwords) do sistema
· Mandar
e receber arquivos por TCP
Como funciona o Back Orifice
Para mandar um pacote
de Udp, é nescessário uma porta "aberta" no
endereço
do Usuário (IP). Aqui entra o BOSERVE.EXE, que é
enviado
disfarçado
para um usuário. Com o BOSERVE instalado na
máquina
(basta
executá-lo) o Cliente (o que mandou o server) só
precisa
digitar os comandos.
Ressalte-se que
esse
programa é um trojan
e não um vírus,
pois é necessário executá-lo para que
ele se
instale,
sendo que o usuário o executa enganado, pensando que faz
alguma
outra ação.
O Back Orifice
1.2,
como a maioria dos trojans abre somente a porta default,
ou seja, seu padrão é invadir pela porta 31337.
Entretanto, o
server
do BO2000, como os trojans mais perigosos tem a
opção
de configurar o servidor, alterando a porta default,
podendo
ser configurado para abrir qualquer porta e dificultando a
açao
dos programas de proteção.
Note-se que o BO
é uma aplicação "legal". Tecnicamente,
seria um
ótimo
programa de monitoração remota, não
fosse pelos
seguintes detalhes:
- não avisar que está se instalando,
- não avisar quando está rodando e de
- não exigir
senha para que aconteça o monitoramento remoto, deixando a
máquina
aberta para qualquer um, que possua o BO Client.
Principais características
- tamanho
do executável do Servidor: 122k (124.928 bytes)
- se
auto deleta após a execução
- o
ícone do BO é vazio (transparente)
- funcionamento:
pacotes de UDP
O BO não
é
o único, nem o primeiro, nem o mais perigoso, nem o mais
fácil
de usar dentre os programas deste tipo. Há dezenas de
programas,
para os mesmos perigosos fins. O BO é apenas o mais popular
destes
programas, os quais são conhecidos genericamente como backdoors
(programas para monitoração remota sem a
autorização
do usuário). Baseado em vários textos, inclusive
de
Daniel
/ CrAzY).
Remoção do BO com o uso de programas
# Antigen
Para testar
se seu computador está ou não infectado com o
Back-Orifice,
utilize um detetor. Um deles é o Antigen que pode detectar
e remover o BO de seu computador. Antes de executar esse
programa,
certifique-se de desabilitar todos os programas que detectam o BO (como
o NoBo). Se isso não for feito, o antigen pode acusar uma
falsa
infecção. Clique em "Download" para copiar o
arquivo de
instalação.
# NOBO
O NOBO não
elimina o Back Orifice, somente identifica o IP
do computador
que
está mandando pacotes de BO. Só consegue fazer
isso se o
programa não tiver sido alterado em
relação
à
porta utilizada. Clique em "Download" para copiar o arquivo de
instalação.
Medidas gerais de prevenção
Há
um conjunto de procedimentos
gerais de prevenção
contra vírus e outros programas maliciosos que sempre
devem ser realizados (em qualquer computador, especialmente nos
conectados
à Internet).
Essas
medidas podem ser resumidas assim:
1. Jamais executar um
programa
ou abrir um arquivo sem antes executar o antivírus sobre a
pasta
que o contenha.
2. Atualizar o seu
antivírus
constantemente (todas as semanas e até diariamente as
empresas
distribuem
cópias gratuitas dos arquivos que atualizam a lista dos
novos
vírus
e vacinas).
3. Desativar a
opção
de executar documentos diretamente do programa de correio
eletrônico.
4. Jamais executar
programas
que não tenham sido obtidos de fontes absolutamente
confiáveis.
Outras informações
http://lazaro.merchant.com.br/icq99/
http://ccc.unisinos.tche.br/users/c/charles/bo.htm
http://web.cip.com.br/nobo/
http://travel.to/psycho
http://www.bpiropo.com.br/tz980914.htm
Este
"site", destinado prioritariamente aos alunos de Fátima
Conti,
pretende
auxiliar quem esteja começando a se interessar por internet,
segue as regras da FDL (Free Documentation Licence),
computadores
e programas, estando em permanente construção.
Sugestões
e comentários são bem vindos.
Se
desejar colaborar, clique
aqui.
Agradeço
antecipadamente.
Deseja
enviar
essa página?
Se
você usa um programa de correio eletrônico
devidamente
configurado
e tem
um
e-mail
pop3, clique em "Enviar página" (abaixo) para
abrir o
programa.
Preencha
o endereço do destinatário da mensagem.
E
pode acrescentar o que quiser.
(Se
não der certo, clique aqui
para saber mais).
Enviar
página
Se você usa webmail
copie o endereço abaixo
http://www.cultura.ufpa.br/dicas/vir/inv-bo.htm
Acesse a página do seu provedor. Abra uma nova mensagem.
Cole o endereço no campo de texto.
Preencha o endereço do destinatário.
E também pode acrescentar o que quiser.
Última alteração: 10
jun 2007