Back Orifice

Kategorie: Scare Entdeckt auf: 01 Jan 2000
Typ: scare Aktualisiert auf: 08 Jun 2006

Beschreibung

Mit dem "Administrationstool Back Orifice" können Computer, auf denen der Back Orifice Treiber (BOSERVER in der Terminologie der Software) installiert ist, von fern mit einem von zwei Administrations-Clients (einer GUI-Version und einer Konsolenversion) administriert werden.

Der Administrations-Client ermöglicht die Manipulation eines Großteils der Elemente eines nicht lokalen Windows 95/98-Rechners, auf dem der BO-Treiber installiert ist, darunter Registrierungseinträge, das Dateisystem, die Prozessdatenbank, gedrückte Tasten und Bildschirmanzeigen.

Auch wenn diese Art von Kontrolle von zahlreichen existierenden kommerziellen Anwendungen angeboten wird, trägt der Back Orifice - wie sein Name schon vermuten lässt - ein zusätzliches Paket in sich, das es zu einer "unerwünschten Anwendung" werden lässt. So installiert sich z. B. die Treibersoftware standardmäßig selbst mit einem ungewöhnlichen Namen ("#.EXE", wobei # für ein Leerzeichen steht). Er löscht außerdem die originale Installationsdatei, sobald der nicht offensichtlich benannte Treiber vorhanden ist. Weiterhin behauptet er, eine Funktion zu enthalten, durch die der Treiber ähnlich wie ein Virus an ein anderes Programm "gebunden" ist. Wenn dieses gemischte Programm gestartet wird, installiert der Treiber sich mit seinem ungewöhnlichen Namen, bevor das originale Programm gestartet wird. Somit kann er sowohl seine Ausführung als auch seine Existenz verschleiern.

Administratoren, die eine legale Anwendung von Back Orifice in ihrem Netzwerk beabsichtigen, sollten daran denken, dass die Pakete, die zwischen den Back Orifice-Clients und den -Servern ausgetauscht werden, einfach abgefangen und dekodiert werden können, auch wenn die BO-Verschlüsselung verwendet wird. Unbefugte Netzwerk-Schnüffler können so BO-Sitzungen auch in Netzwerken, in denen BO absichtlich verwendet wird, abhören und nachvollziehen. Solche Schnüffler können auch das in einer BO-Paket-Sitzung verwendete Kennwort nachvollziehen. Sie können sich ab diesem Zeitpunkt direkt mit Rechnern im Netzwerk verbinden.

Wir gehen davon aus, dass nicht ausreichend informierte Administratoren den Einsatz von Back Orifice Tools in ihren Netzwerken erlauben möchten. Auch wenn die zweifelhafte Berühmtheit von BO dazu führt, dass die Tools sich weiter verbreiten, als dies zu wünschen ist, hoffen wir, dass Anwender dadurch beliebige Programme, die sie erhalten, nicht einfach starten. Wir hoffen weiterhin, dass Administratoren aufgrund des Bekanntheitgrades von BO die Augen offenhalten und somit diejenigen erwischen, die versuchen das Programm für böswillige Zwecke verwenden.

Weiter Informationen finden Sie in der Analyse von Back Orifice 2000.

Threat Level

BEDROHUNGSSTUFE:

Weitere Infos