Beschreibung
Mit dem "Administrationstool Back Orifice" können Computer,
auf denen der Back Orifice Treiber (BOSERVER in der Terminologie der
Software) installiert ist, von fern mit einem von zwei
Administrations-Clients (einer GUI-Version und einer Konsolenversion)
administriert werden.
Der Administrations-Client ermöglicht die Manipulation eines Großteils
der Elemente eines nicht lokalen Windows 95/98-Rechners, auf dem der BO-Treiber
installiert ist, darunter Registrierungseinträge, das Dateisystem, die
Prozessdatenbank, gedrückte Tasten und Bildschirmanzeigen.
Auch wenn diese Art von Kontrolle von zahlreichen existierenden
kommerziellen Anwendungen angeboten wird, trägt der Back Orifice -
wie sein Name schon vermuten lässt - ein zusätzliches Paket in sich,
das es zu einer "unerwünschten Anwendung" werden lässt. So
installiert sich z. B. die Treibersoftware standardmäßig selbst mit
einem ungewöhnlichen Namen ("#.EXE",
wobei # für ein Leerzeichen steht). Er löscht außerdem die originale
Installationsdatei, sobald der nicht offensichtlich benannte Treiber
vorhanden ist. Weiterhin behauptet er, eine Funktion zu enthalten, durch
die der Treiber ähnlich wie ein Virus an ein anderes Programm "gebunden"
ist. Wenn dieses gemischte Programm gestartet wird, installiert der
Treiber sich mit seinem ungewöhnlichen Namen, bevor das originale Programm
gestartet wird. Somit kann er sowohl seine Ausführung als auch seine
Existenz verschleiern.
Administratoren, die eine legale Anwendung von Back Orifice
in ihrem Netzwerk beabsichtigen, sollten daran denken, dass die Pakete,
die zwischen den Back Orifice-Clients und den -Servern ausgetauscht
werden, einfach abgefangen und dekodiert werden können, auch wenn die
BO-Verschlüsselung verwendet wird. Unbefugte Netzwerk-Schnüffler können
so BO-Sitzungen auch in Netzwerken, in denen BO absichtlich
verwendet wird, abhören und nachvollziehen. Solche Schnüffler können
auch das in einer BO-Paket-Sitzung verwendete Kennwort nachvollziehen.
Sie können sich ab diesem Zeitpunkt direkt mit Rechnern im Netzwerk
verbinden.
Wir gehen davon aus, dass nicht ausreichend informierte
Administratoren den Einsatz von Back Orifice Tools in ihren Netzwerken
erlauben möchten. Auch wenn die zweifelhafte Berühmtheit von
BO dazu führt, dass die Tools sich weiter verbreiten, als dies zu wünschen ist,
hoffen wir, dass Anwender dadurch beliebige Programme, die sie erhalten, nicht
einfach starten. Wir hoffen weiterhin, dass Administratoren aufgrund
des Bekanntheitgrades von BO die Augen offenhalten und somit diejenigen erwischen,
die versuchen das Programm für böswillige Zwecke verwenden.
Weiter Informationen finden Sie in der Analyse von Back Orifice 2000.