Back Orifice

Catégorie: Crainte Découvert le: 01 janv. 2000
Type: scare Mis à jour le: 08 juin 2006

Description

L'"outil d'administration Back Orifice" permet aux ordinateurs qui exécutent le pilote Back Orifice (BOSERVER d'après la terminologie du logiciel) d'être administrés à distance par l'un des clients d'administration (une version GUI et une version console).

Le client d'administration permet la manipulation de la plupart des éléments d'une machine Windows 95/98 distante qui a le pilote BO installé, incluant les entrées de registre, le système de fichiers, la base de données des processus, les touches utilisées et la sortie écran.

Bien que ce genre de contrôle est offert par de nombreuses applications commerciales, Back Orifice, comme son nom le suggère, comprend des fonctions supplémentaires dans son implémentation qui le rendent une "application indésirable". Par exemple, le pilote logiciel s'installe tout seul, par défaut, avec un nom inhabituel ("#.EXE", où # représente un espace). Il efface aussi le fichier d'installation original une fois que le pilote, au nom étrange, est en place. De plus, il clame inclure une caractéristique qui permet au pilote d'être "destiné", comme un virus, à un autre programme. Puis, lorsque ce programme hybride est exécuté, le pilote s'installe silencieusement avec son nom inhabituel avec d'exécuter le programme original. Ceci lui permet de cacher son invocation et sa présence.

Les administrateurs anticipant une utilisation légitime de Back Orifice sur leur réseau garderont probablement à l'esprit que les paquets transmis entre les clients Back Orifice et les serveurs sont faciles à intercepter et à décoder, même si le cryptage BO est utilisé. Ceci signifie que des espions illicites sur le réseau peuvent être capable d'intercepter et de recouvrir les sessions BO même sur les serveurs où BO est utilisé intentionnellement. De tels espions seront aussi capables de retrouver, à partir d'une session de paquets BO; le mot de passe utilisé. Cela leur permettra de se connecter directement aux machines sur le réseau.

Nous assumons qu'aucun administrateur bien informé ne souhaite l'utilisation de l'outil Back Orifice sur leur réseau. Nous espérons que, malgré la notoriété de BO qui peut signifier la propagation de cet outil, les utilisateurs seront facilement encouragés à ne pas accepter des programmes arbitraires qu'ils recoivent. De plus, nous espérons que la notoriété de BO signifiera que les administrateurs seront plus vigilant dans son utilisation et que les utilisations malveillantes seront beaucoup plus surveillées.

Veuillez-vous référer à l'analyse de Back Orifice 2000 pour plus de détails.

Threat Level

Niveau de la menace:

En savoir plus