Description
L'"outil d'administration Back Orifice" permet aux
ordinateurs qui exécutent le pilote Back Orifice (BOSERVER d'après
la terminologie du logiciel) d'être administrés à distance par
l'un des clients d'administration (une version GUI et une version console).
Le client d'administration permet la manipulation de la plupart
des éléments d'une machine Windows 95/98 distante qui a le pilote BO
installé, incluant les entrées de registre, le système de fichiers, la
base de données des processus, les touches utilisées et la sortie écran.
Bien que ce genre de contrôle est offert par de nombreuses applications
commerciales, Back Orifice, comme son nom le suggère, comprend des
fonctions supplémentaires dans son implémentation qui le rendent une
"application indésirable". Par exemple, le pilote logiciel
s'installe tout seul, par défaut, avec un nom inhabituel ("#.EXE",
où # représente un espace).
Il efface aussi le fichier d'installation original une fois que le pilote,
au nom étrange, est en place. De plus, il clame inclure une caractéristique
qui permet au pilote d'être "destiné", comme un virus, à un autre
programme. Puis, lorsque ce programme hybride est exécuté, le pilote
s'installe silencieusement avec son nom inhabituel avec d'exécuter le programme
original. Ceci lui permet de cacher son invocation et sa présence.
Les administrateurs anticipant une utilisation légitime de
Back Orifice sur leur réseau garderont probablement à l'esprit
que les paquets transmis entre les clients Back Orifice et
les serveurs sont faciles à intercepter et à décoder, même si
le cryptage BO est utilisé. Ceci signifie que des espions illicites
sur le réseau peuvent être capable d'intercepter et de recouvrir les
sessions BO même sur les serveurs où BO est utilisé intentionnellement.
De tels espions seront aussi capables de retrouver, à partir d'une session
de paquets BO; le mot de passe utilisé. Cela leur permettra de se connecter
directement aux machines sur le réseau.
Nous assumons qu'aucun administrateur bien informé ne souhaite
l'utilisation de l'outil Back Orifice sur leur réseau.
Nous espérons que, malgré la notoriété de BO qui peut signifier
la propagation de cet outil, les utilisateurs seront facilement
encouragés à ne pas accepter des programmes arbitraires qu'ils
recoivent. De plus, nous espérons que la notoriété de BO signifiera
que les administrateurs seront plus vigilant dans son utilisation et que
les utilisations malveillantes seront beaucoup plus surveillées.
Veuillez-vous référer à l'analyse de Back Orifice 2000
pour plus de détails.