| Back Orifice |
| 1. Descricao: O grupo hacker auto-intitulado Cult of Dead Cow lancou, no ultimo dia 21, o programa "Back Orifice", em alusao ao programa "Back Office" da Microsoft, que clama ser um Remote Server Control, ou seja, que se possa controlar uma maquina rodando o sistema operacional Windows 95/98 remotamente instalando a interface de recepcao do proprio "Back Orifice". 2.Principais caracteristicas: O programa se auto deleta apos a execucao, Instalacao obscura mudança de registros. A partir destas caracteristicas, pode-se inferir que o "Back Orifice" age como um verdadeiro backdoor para windows, instalando-se automaticamente na maquina do usuario e deixando o sistema pronto para conexoes remotas com o cliente do "Back Orifice". Apesar de todo esta polemica por tras deste lancamento, o "Back Orifice" so ira afetar as maquinas que realmente executarem o programa de auto-instalacao (que certamente vira em forma de um trojan). Pede-se, portanto, que os usuarios de Windows possa ter cautela em receber e executar arquivos de estranhos, ou arquivos que possam ser baixados em sites obscuros pela Internet. 3. Comprometimento: A maquina que estiver com o sistema "Back Orifice" instalado podera ser totalmente controlada remotamente, com a possibilidade de execucao de processos, controle do file system, controle de rede e controle dos processos da maquina. É possível, ainda, logar todas as teclas digitadas da maquina para um arquivo, comprometendo acessos a sites seguros (cartao de credito, homebanking, etc). 4. Verificando a vulnerabilidade: 1) Porta 31337 em listening (UDP) *default*: No prompt do Dos, digite: C:\> netstat -na udp 0 0 0.0.0.0:31337 Se alguma das linhas mostrarem a porta 31337 (udp) em listening, certamente o backdoor default foi instalado. Atencao, isto pode ser facilmente modificado para outra porta. 2) Serviços estranhos ao sistema: Acesse o programa regedit.exe. Acesse o registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices Procure por serviços que nao foram intencionalmente instalados ou que possam despertar alguma suspeita. A configuracao *default* sugere um servico com nome ".exe". Procure por esta entrada. 3) Existencia do arquivo \windows\system\windll.dll: O "BackOrifice" cria o arquivo \windows\system\windll.dll no \windows\system utilizando a data da versao do seu Windows, que geralmente eh 11/07/98. A existencia deste arquivo pode caracterizar uma maquina comprometida. 4) Verifique os arquivos no seu \window\system: Suspeite de arquivos com entradas de aproximadamente 124 kbytes. 5) Suspeite de comportamentos incomuns ao sistema: - Maquina rebootando instantaneamente sem que voce tenha desligado. - Trafego de rede (ocupacao de banda) enquanto voce realmente nao esteja usando a rede. - Utilizacao de maquina excessiva: como disco sem que voce esteja realmente o acessando. - Arquivos incomuns ao sistema. - Programas fechando instantaneamente sem que voce os tenha fechado. 5. Livrando-se do BackOrifice: Para remover totalmente o "BackOrifice", remova o registro e apague o arquivo server. Se possivel, faca um backup de todos os dados, formate a maquina e instale novamente o sistema. Esteja consciente que informacoes importantes podem ter sido capturadas, desde senhas para acessos a servicos online ate senhas de homebanking. Considere trocar, se possivel, todas estas informacoes. 6. Medidas Preventivas: Como ja fora acima mencionado, o backdoor criado pelo "BackOrifice" so podera ser instalado em sua maquina se voce *realmente* rodar o auto-instalador. Isto implica em ser coerente com os executaveis baixados pela internet (sites obscuros e nao oficiais) e com programas que os desconhecidos/amigos insistem que voce execute. Recuse as ofertas de programas para "fixar" o problema do "BackOrifice", pois isto nao eh um, na verdade, um problema com o sistema, mas uma questao de persuacao. 7. Contatos: Uground Industries Security Bulletim uma publicacao da uground industries (tm) http://www.uground.org - contatos: security@uground.org Procure pelos advisories da uground industrie em http://www.uground.org/advisories.html Assine a lista Best Of Security Brasil http://www.uground.org/bos Mande mensagem pra bos-br-request@uground.org Ponha "subscribe bos-br" no corpo da mensagem. condor@uground.org Uground industries (tm) - 1998 |
