发信人: emil()
整理人: emil(1999-08-12 10:27:02), 站内信件
|
Back Orifice 2000的真面目——谈谈BO2K及其预防和清除
作 者 : 星星S
一、Back Orifice 2000登场
时间:1998年8月1日下午
地点:拉斯维加斯
一个名为Cult of the Dead Cow (CDC)的黑客组织发步他们的黑客工具Back Ori
fice(BO)黑客工具, 成为本届大会最走红的明星产品,并引起的整个业界的长期关注
。从此在长长的病毒清单上又多出了一种新的威胁——特洛伊木马。
一年以后的现在,还是在在拉斯维加斯举行的DefCon黑客大会上,Cult of the De
ad Cow又发布了该程序的新版----Back Orifice 2000(BO2K)要注意这不是MS著名的BAC
K Office,而是CDC的Back Orifice。
二、天使与魔鬼
对于这个程序的说法不一,有人说它是恶意的病毒,也有人认为它是合法的非常有
价值的工具,用来管理和保障电脑网络安全。
作为被攻击的对象微软,当然认为认为Back Orifice 2000是非常具威胁性和破坏性
的程序。微软在网站上公布了一系列关于BO2K的问答,并呼吁大家操作计算机时要“采
取安全有效的防范措施”,比如不要下载来历不明的或者是附加在电子邮件后面的程序
,更不要运行这样的程序。
而攻击的一方CDC则认为:“系统管理员有了BO2K,就等于拥有一个免费的专业级公
开源代码的应用工具。”但是:“不幸的是,BO2K将给微软造成巨大的压力,迫使它不
得不在视窗操作系统中安装安全模型。如果它不这么做,不怀好意的黑客就可能会利用
专门针对视窗系统弱点的软件进行攻击,使视窗系统的用户蒙受损失。”
三、新特征
新版的Back Orifice 2000更小、更敏捷。主要特点有:
--支持Windows NT。
这也是BO推出后人们普遍希望的要求。早期的版本只针对win95/98,影响的是消费者和
小商业机构,Back Orifice 2000触及到大的 组织,因为它运行在商业机构使用更多的
Windows NT系统上。
--公开源码 --提供插件功能,允许其他第三方开发的插件。
这两点绝对是毁誉间半的,站在反对者的立场上来看由于BO2K可接受插入件,这就使开
发它的恶意变种程序成为可能。而由于源代码的公开,无疑这为那些心地歹毒的黑客编
制出Back Orifice 2000变种提供了方便,简单而通俗的讲一点就是别有用心的人可以很
容易的将这些源代码可以被植入普通的计算机应用软件和游戏程序中。
--增强的密码和安全保护系统
这实际上是加强了作为远程管理工具的安全性,同时Back Orifice 2000也将更难被网络
监视器程序检测到,这是因为程序能够通过使用各种不同的协议连接回发送者,使它更
难识别。
--更加友善和方便的界面
作为黑客程序,从传统上来讲是给“高手”用的,因此对于界面是不很重视的。但Back
Orifice 2000改变的这一切,操作的方便和设计的体贴是很多专业软件都所不及的。
--用户额外增强的功能
比如说,他们能够隐藏文件或激活计算机的麦克风进行实时的音频监视。 还有就是可以
实时地记录按键,其能记录并传送感染计算机每次按键的记录。同样,接收者能够实时
地观察目标计算机的桌面。
四、运行机制
Back Orifice 2000是一个客户机/服务器(C/S)应用程序,Server部分是实际驻留
在用户计算机上的特洛伊木马程序,它能相当容易地在用户计算机上驻留,往往在用户
下载文件后不知不觉的将它安装它。其客户机程序可以监视、管理和使用其他网络中运
行服务器程序所在的网络资源。它能控制被Server感染的计算机的注册表,Internet 连
接,文件和文件夹等等。一般来说,被SERVER感染的计算机上能直接执行的任何事情,在
有客户端的远程的用户都能执行。
Back Orifice 2000一共由5个文件组成
Bo2k.exe - 136kb, BO2K 服务器端程序
Bo2kcfg.exe - 216kb, BO2K 设置程序
Bo2kgui.exe - 568kb, BO2K 客户端程序
Bo3des.dll - 24kb, plugin - triple DES module
Bo_peep.dll - 52kb, plugin - remote console manager
安装BO2K服务端很容易,只要执行服务端程序(Bo2k.exe)就可以了。
BO2K 提供了一个设置程序BO2KCFG.EXE,用以设置有关的服务器端程序。包括:
Network type:TCP/IP or UDP
Port number:可以自定义从1 到 65535
Encryption of packet type:XOR or 3DES
Password for server connection:
Run at startup:yes/no
Delete original file:yes/no
Runtime pathname:缺省“UMGR32.EXE”
Hide process:yes/no
Host process name:
Service Name in Windows NT:缺省“Remote Administration 还可以自定义几乎所有
的远程可以使用的功能。
五、攻击手段
BO2KGUI.EXE 是客户端程序。比起上一代产品来现在的界面实在太友好了。特别是
增加了workspace的概念。workspace包括了上回使用过的服务器列表,还可以单独储存
(实在太方便了)。
通过这个客户端程序,我们几乎可以对一台装有BO2k的机器进行任何的操作,一共
有大约70余项功能包括:
--对装有Back Orifice 2000
server的远程微机进行Ping和Query(就是去查找BO2K的服务器)
--重起或锁定服务器
--列出这台微机中的密码!(密码需被系统缓存)
--显示BO2K服务器上的系统信息。(包括Machine Name,Current User,Processor,O
perating system version (SP version),Memory (Physical and paged),All fixed
and remote drives)
--将BO2K服务器上的击键记录在一个文本文件中,然后察看或删除这个文件!
--在BO2K服务器上创建一个对话框,显示所给出的文本和一个"OK"按钮。与对方对话。
--将BO2K服务器主机重定向端口,连接到一个特定的 IP地址和端口,进行文件传输,上
网等。
--进行几乎全部Microsoft Networking的设置,如设置共享目录等。
--查看, 创建、中止一个进程
--完全的修改所有的注册表的值!
--多媒体的应用,可以列出视频输入设备。如果存在视频输入设备,可以捕捉视频和音
频信号到avi 文件中。可以捕捉屏幕影像到一个位图文件中。还可以遥控进行。
--完全的文件和目录操作如copy、delete、rename、transfer)
--压缩和解压缩文件
--DNS 服务,解析hostnames 和 addreses
--控制服务器程序的开/关
--运行插件,系统自带两个插件BO3DES.DLL,BO_PEEP.DLL,对于老版本上的插件,仍然
可以使用。
六、预防与清除
BO2K发布以后,各大反病毒厂商纷纷迅速对该程序进行了分析,及时发布了能够清
除系统中的BO2K的程序专门针对BO2K的开发防范软件。著名的Computer Associates公司
在网站上发表了声明,称公司的“全球反病毒研究小组正在夜以继日地工作,争取早日
拿出反击BO2K的对策。”
如果自己已经中招,手工杀除BO2K很容易。
1、运行REGEDIT.EXE,修改注册表,在HKEY_LOCAL_MACHINE/SOFTWARE/MICROSOFT/ WIN
DOWS/CURRENTVERSION/RUNSERVICES处删除UMGR32.EXE 的key值
2、重启系统
3、在\WINDOWS\SYSTEM下删除UMGR32~1.EXE
需要注意的是,因为bo2k安装後的名字是可以自定义的,因此你需要面对的BO2K不
一定是叫这个名字。
由杀毒软件来保护自己的电脑免于Back Orifice 2000的攻击其实并不是一个好的办
法。
从技术角度看,BO2K算不上是病毒,他本身是无害的。他的危险指出在于,他可以
让你的计算机在不知不觉间,被不知道什么人所控制。当然这种控制在很多情况下还是
非常有用的,BO2K实际上是一种远程的管理软件。研究如何加强系统的安全保护才是正
经事情。
这回CDC可能又要抢鲜了,BackOrifice的开发者——“Dystic爵士正计划在未来几
周时间内推出另外两种系统安全软件。 其中一种程序的代号为“CDC保护者”,旨在保
护电脑用户免受病毒和特洛伊木马程序的袭击,另外一种程序的代号为“CDC系统监视器
”,可以记录系统中每一种程序的活动情况,使用户对自己系统中的每一个程序进行严
密监视。 又是两种非常有价值的软件,我们期待这他们的大作早日问世。
BO2K不进行自我复制和自行传播。传播途径主要是电子邮件、软件下载等。因此只
要电子邮件的接受者不点击邮件中的附加程序,它就感染不了用户的计算机。用户下载
软件时,注意不要选择那些不知来历或者令人可疑的网址。
作为预防措施可以对与INTERNET进行联网通信的计算机进行严格控制,妥善保管重
要数据,防止被窃取。同时将与INTERNET进行联网的计算机与本地网络进行隔离。 最重
要的是要严格控制外来程序进入本地网络。另外应及时下载最新版的防毒软件。目前NA
V、MCAFEE、PC-cillin都有了可以差杀BO2K的升级版,请尽快下载。
七、后记
没有BO2K的windows也不是安全的,有了BO2K後的windows也决不能说存在有什么不
可弥补的漏洞,毕竟BO2k的功能并不是破坏功能。很多大型软件公司权作够类似的程序
,Symantec、Intel、HP,只不过BO2K更简练一点,服务器端隐藏的好一些,功能稍多一
些,界面上稍稍难以使用一些(BO2K不是针对傻瓜编程的)。面对Bo2K真正难堪的其实
并不是microsoft,也不是杀毒软件公司,而是这些远程管理软件的开发公司。反正有了
免费的功能强大的Bo2K,我是不会在去买什么pcanywhere了。
BO2K勉强可以说是一个黑客软件,但真正的黑客是不会使用BO2K去攻击你的系统的
。使用BO2K主动攻击别的系统的应该都是一些黑客的爱好者们,他们可能会造成严重的
破坏,而很难对一个有准备的系统构成真正的威胁。
说一千道一万,BO2K既不是天使,也不是魔鬼。它只不过是一个功能很强大的工具
,是一把枪,其本身是无害的,就看你如何去使用它。它的最大罪过恐怕应该是,把如
此强大而危险的工具放在了每个人的手边。就好比如发给了我们每个人一把枪一样。
从传统上来讲,系统安全执行的是一种愚民政策,也就是说我有漏洞,我隐藏的好
,你不知道,等于没有漏洞。但黑客的观点则是发现执行漏洞,并把他们公开出来。在
这个意义上,BO2k可以说又已经领先了一步。
八、相关网址
黑客大会DefCon的网址:
http://www.defcon.org/
著名的黑客组织Cult of the Dead Cow的网址:
http://www.cultdeadcow.com/
Back Orifice 2000的网址:
http://www.bo2k.com/
bo2k源码:
http://home7.inet.tele.dk/prodigy/bo2k/source/
PC-cillin的升级程序,最新病毒码558:
http://www.trend.com.tw/download/pattern.htm
MCAFEE的最新DAT File 4x 4034,发布日期1999/07/14
http://download.mcafee.com/updates/updates.asp
Norton AntiVirus的最新升级文件,升级日期99/07/12,发布日期99/07/15
http://www.symantec.com/avcenter/cgi-bin/navsarc.cgi
--
欢迎光临“病毒观察” http://bd.yeah.net
“聊毒斋” http://ldz.126.com
http://liaoduzhai.163.net
Email: [email protected]
※ 来源:.网易 BBS bbs.netease.com.[FROM: 202.103.177.121]
|
|