|
| |
Uwaga,
nowy Back Orifice 2000, agent hakerów !
Informujemy o nowym zagrożeniu: Back
Orifice 2000 (inne nazwy: BackOrifice2K.Trojan, Back Orifice 2000, BO
2000, BO2K Backdoor), program typu trojan, który po wprowadzeniu do systemu użytkownika
umożliwia niepowołanym osobom kontrolować, praktycznie bez żadnych ograniczeń,
zasoby zaatakowanej maszyny. Nie są bezpieczne pliki, które mogą zostać
zdalnie wykasowane, hasła, czy przechowywane na dysku poufne dokumenty i
informacje!
Początkowo Back Orifice, który pojawił się w 1998 roku, służył
narzędzie do zdalnego administrowania systemem Windows poprzez łącza typu
TCP/IP. Administrator miał możliwość dostępu do systemu plików komputera,
przyłączonej sieci, czy funkcji systemu operacyjnego. BO (Back Orifice) nadal
miał szereg słabych stron, na przykład nie mógł działać na maszynach z
systemem Windows NT.
Lipiec tego roku jest w pewnym sensie datą przełomową. Na corocznej konwencji
DEFCON 7.0, zaprezentowano nową wersję programu: Back Orifice 2000.
Obok możliwości kontroli oddalonego komputera posiada nowe cechy, z których
warto odnotować następujące:
 | Działa na Windows NT |
| Architektura programu jest otwarta, co umożliwia
jego swobodną rozbudowę przez różnego autoramentu programistów |
| Rozbudowane mechanizmy szyfrowania
zabezpieczające procedury administrowania (XOR/3DES) |
| Praktycznie nieograniczona dostępność do
kodu źródłowego (licencja GNU) |
| Korzystanie z TCP/IP lub portu UDP |
Szczególnie groźne jest upublicznienie dostępu
do kodu, przez co niezwykle prawdopodobna jest możliwość powstania w najbliższej
przyszłości różnorodnych wariantów trojana. Według Dana Schradera zarządzającego
działem eSecurity firmy Trend Micro Back
Orifice 2000 jest szczególnym zagrożeniem. "To jest narzędzie
zaprojektowane specjalnie w celu przejęcia istotnych, prywatnych danych.
Najlepszą metodą walki z nim jest jego wykrycie i usunięcie zanim wtargnie do
naszych zasobów", stwierdza.
W celu uniknięcia skutków ataku przy pomocy Back Orifice 2000,
jak również innych podobnych programów, czy wirusów zaleca się:
| Korzystać z uaktualnianych systematycznie
programów antywirusowych |
| Maksymalnie zabezpieczyć programy poczty
email poprzez ustawienie stosownych parametrów |
| Nie otwierać dołączonych do poczty załączników,
zanim ich pochodzenie nie zostanie uprzednio potwierdzone |
| Regularnie wykonywać kopie bezpieczeństwa. |
Jak usunąc zagrożenie?
Aby wyrzucić BO2k z systemu należy posłużyć
się odpowiednim edytorem, na przykład REGEDIT. Następnie:
1. Zapisać nazwy zarażonych plików
2. Odszukać klucze zawierające wszystkie zapisane pliki
Opcjonalnie jest to "UMGR32.EXE" zlokalizowany w -
Windows 95/98 -
\\HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\
CURRENT VERSION\RUNSERVICES\UMGR32.EXE
Windows NT -
\\HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\
CURRENT VERSION\RUN\UMGR32.EXE
3. Wykasować key entries w rejestrze
4. Zamknąć system przechodząc do DOS i manualnie wykasować zarażone pliki
(domyślnie UMGR32~1.EXE) w katalogu <root>\WINDOWS\SYSTEM , uruchomić
ponownie komputer
5. Dla Windows NT należy przeresetować komputer aby usunąć z pamięci
uruchomiony proces i następnie wykasować plik UMGR32.EXE z katalogu
<root>\WINNT\SYSTEM32
6. Przeskanować system ponownie aby upewnić się, że usunięto wszystkie
zainstalowane warianty BO2k. Jeśli tak się nie stało, powtórzyć czynności
z punktu 1.
Uwaga !!! W
podany sposób można wykryć BO2k (jedynie w przypadku, gdy trojan został
przesłany z wykorzystaniem domyślnej konfiguracji!):
1. Zajrzeć do katalogu
<root>\WINDOWS\SYSTEM (Windows 95/98) lub <root>\WINNT\SYSTEM32
(Windows NT) i sprawdzić, czy nie ma tam pliku UMGR32.EXE
2. Można także wykorzystać Windows Task Manager dla procesu UMGR32
3. Wykonac czynności opisane w punktach 1-6 (jak usunąć)
Wkrótce nowe informacje o BO2k i związanych z nim zagrożeniach.
Uwaga: wszystkie
produkty Trend Micro, uzbrojone w plik wzorców o numerze 558
(lub nowsze, zawsze dostępne na naszym serwerze) umożliwiają
wykrycie i usunięcie Back Orifice 2000.
Chcesz wiedzieć więcej?
Internet: airtrend@home.pl
Zachęcamy do odwiedzenia naszego SKLEPU
, zapoznania się z założeniami PROFILAKTYKI
ANTYWIRUSOWEJ
Opracowano na podstawie materiałów Trend
Micro
© 1999 Trend Micro Incorporated. All Rights Reserved
| |
|
