Darmowy Back Orifice jakoby ma służyć administratorom sieci. W rzeczywistości jest groźnym narzędziem pozwalającym włamywaczom na przejęcie kontroli nad komputerami pracującymi pod Windows.

Kiedy przed rokiem grupa włamywaczy Cult of Dead Cow (cDc) udostępniła pierwszą wersję Back Orifice, producenci oprogramowania antywirusowego uznali ten program za "konia trojańskiego". Back Orifice, podobnie jak wirus, mógł być przesłany na komputer użytkownika poprzez podczepienie do dowolnego pliku wykonywalnego i działać potajemnie. Po uruchomieniu umożliwiał włamywaczowi praktycznie nieograniczony dostęp do komputera użytkownika. Do niedawna pocieszeniem dla administratorów było to, że aplikacja działała wyłącznie pod Windows 95 i 98. Nowy Back Orifice 2000 (w skrócie BO2K) znosi to ograniczenie i umożliwia przejmowanie zdalnej kontroli nad stacjami i serwerami Windows NT 4.0.

Narzędzie do wszystkiego

BO2K - udostępniony podczas tegorocznej konferencji Defcon zorganizowanej dla hakerów i specjalistów od bezpieczeństwa systemów informatycznych - składa się z modułu serwerowego i klienta pracującego w trybie graficznym. Do przejęcia kontroli nad serwerem bądź stacją roboczą z dowolną wersją Windows konieczne jest zainstalowanie komponentu serwerowego. Później można zdalnie zarządzać komputerem za pomocą oprogramowania klienckiego.

Zakres funkcjonalny oprogramowania jest bardzo szeroki. Mimo małego rozmiaru, Back Orifice zapewnia funkcje nie spotykane w komercyjnie dostępnych aplikacjach do zdalnego zarządzania. Dzięki BO2K można m.in. śledzić działania użytkownika odbywające się w formie transmisji Video Stream, modyfikować systemową bazę Registry, wysłać dowolny ciąg danych na dowolny port, przechwytywać znaki wpisywane z klawiatury, zablokować lub zrestartować zdalny komputer. Ponadto BO2K umożliwia kontrolę nad procesami systemowymi (wraz z możliwością uruchamiania nowych procesów) i systemem plików (włącznie z możliwością udostępniania zasobów zdalnego komputera).

BO2K udostępnia także interfejs umożliwiający niezależnym programistom dodawanie do aplikacji własnych modułów plug-in.

Moduł serwerowy BO2K opracowano tak, by jego działanie było niewidoczne dla użytkownika komputera. Przykładowo - w Windows NT serwer BO2K może pracować jako usługa systemowa, która będzie uruchamiana zawsze po załadowaniu systemu. Nazwę tej usługi można określić dowolnie. Jeśli będzie to np. Virtual Device Manager czy PC Card Support Manager, to mało prawdopodobne, by użytkownik zorientował się, że serwis BO2K jest w rzeczywistości "koniem trojańskim".

Dla administratora czy włamywacza

Cult of Dead Cow podczas premiery BO2K próbował przekonywać, że narzędzie to ma być przydatne przede wszystkim w pracy administratorów, a nie służyć włamywaczom. Jednak producenci oprogramowania antywirusowego uważają, że BO2K to po prostu "koń trojański", i przestrzegają przed komercyjnym wykorzystaniem tej aplikacji. Dostępne już na rynku "wtyczki" (plug-in) do tej aplikacji umożliwiają m.in. podglądanie pakietów SMB przesyłanych siecią (to właśnie one są stosowane podczas autoryzacji użytkowników) czy też dołączenie odpowiednio spreparowanego serwera BO2K do dowolnego pliku wykonywalnego i przesłanie go pocztą nic nie podejrzewającemu adresatowi.

Chociaż większość producentów oprogramowania antywirusowego już wyposażyła swoje produkty w funkcje umożliwiające wyszukiwanie i usuwanie BO2K, to niebezpieczeństwo nie zostało zażegnane. Organizacja cDc udostępniła bowiem kod źródłowy aplikacji, co spowoduje, iż wkrótce pojawią się na rynku bardziej zaawansowane mutacje Back Orifice 2000 z rozszerzeniami innych programistów, których nie wykrywają jeszcze pakiety antywirusowe.

Jak usunąć BO2K?

Standardowo serwer Back Orifice 2000 na platformie Windows 9x określono nazwą UMGR32.EXE (może ona zostać zmodyfikowana przez włamywacza). Procedura jego wykrywania i usuwania polega na odnalezieniu w systemowej bazie Registry klucza HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\RunServices i wyszukania tam zapisu UGR32, którego wartość podaje ścieżkę do pliku \WINDOWS\SYSTEM\UMGR32.EXE. Należy go usunąć z rejestru, po czym uruchomić komputer z dyskietki DOS i usunąć plik UMGR32.EXE z foldera WINDOWS\SYSTEM. Po ponownym uruchomieniu systemu należy sprawdzić w bazie Registry, czy "koń trojański" ponownie się nie uruchomił, dodając tam swój wpis.

W systemie Windows NT "koń trojański" instaluje się inaczej - standardowo jako usługa systemowa o nazwie Remote Administration Service. Aby go usunąć, należy uruchomić program REGEDIT.EXE i wskazać klucz HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services. Następnie należy wyświetlić zawartość klucza Remote Administration Service i przepisać ścieżkę do pliku ze zmiennej ImagePath. Po przeprowadzeniu tej czynności należy usunąć cały klucz Remote Administration Service, ponownie uruchomić komputer i usunąć plik, którego ścieżka była opisana w zmiennej ImagePath. W tym przypadku również po ponownym restarcie komputera należy sprawdzić, czy "koń trojański" nie pojawił się na liście usług systemowych.