| BACK
ORIFICE |
el 3 de
agosto de 1998, un grupo de hackers autodenominado "el Culto
de la Vaca Muerta" (The cult of the Dead Cow) programa un sistema
que permite -una vez instalado en una PC basada en Sistema Operativo Windows-
tomar control absoluto de ella. El nombre
es un juego de palabras con respecto al Producto de Microsoft "Back Office".
Este sistema
brinda privilegios de ‘Administrador de Sistema’ (System Admin) a un
usuario remoto utilizando los protocolos de comunicación de la Red Internet
(TCP/IP).¿Que significa
esto?, Significa que si el Back Orifice (BO) esta siendo ejecutado en
su computadora, un operador remoto –esto es, en cualquier lugar del mundo- puede
tener acceso a su sistema y hacer casi todo lo que usted puede hacer
–y, en realidad, algunas otras cosas que ni siquiera usted puede hacer- todo
esto sin ser advertido, y sin ningún tipo de aviso de su presencia.
 |
BO
puede ingresar en su sistema como un componente de prácticamente cualquier
software que usted ‘baje’ de Internet o puede venir adjunto a un e-Mail.
El sistema debe ser ejecutado para poder instalarse, lo que implica
que no se auto-ejecuta, es uno el que da "doble-click" para
ponerlo activo. Se instala en segundos, naturalmente sin ningún aviso
y, una vez instalado, borra el archivo original para no dejar rastros.
Si
el BO vino adjunto a un programa, el usuario no se dará cuenta de absolutamente
nada... Instalara el sistema y funcionara sin inconvenientes, sin siquiera
pensar en la posibilidad de que, a partir de ese momento, su maquina esta
disponible al mundo...
|
Hay diversas
técnicas en las que se puede embeber un programa dentro de otro, por ejemplo,
puede una persona enviarle un visor de gráficos y dentro de este el BO. Al instalar
el visualizador, automáticamente, instala también el BO, y usted ni siquiera
lo sospechó...El BO no
es un virus, de ninguna manera. Analizándolo críticamente es un sistema de control
remoto (como por ejemplo el PC Anywhere) sólo que ocupa el 1% de lo que ocupan
este tipo de programas y el control no esta protegido por ninguna contraseña.
El BO en sí mismo, no es dañino. No consume muchos recursos, no ocupa mucho
lugar en memoria, se ejecuta casi invisible a los ojos del usuario y no hace
mucho mas que abrir los accesos a las funciones estándar de Windows95/98.
| PROLIFERACIÓN |
|
El BO fue
públicamente lanzado al mercado el 3 de agosto de 1998 por el Culto de la Vaca
Muerta (cDc). Este grupo reportó, una semana después, que fue ‘bajado’ por 100.000
personas... imaginemos el numero hoy, a casi 5 meses después del ‘lanzamiento
Oficial...’Por primera
vez, una herramienta relativamente simple de usar, permite acceder sin autorización
a sistemas informáticos en el mundo a un numero sin precedentes de personas,
en un uso masivo... Muchos usuarios de Internet están enviando este programa
a otros usuarios utilizando la red.
|
| PREVENCIÓN |
|
Aun siendo
un programa relativamente nuevo, hay distintas empresas en el mundo q han
decidido atacarlo.
Si bien
no conocemos todavía un sistema que previene la infección, hay algunos que
buscan en su computador
Algunos
de los Links relacionados a la prevención, son:
Hay
otro sitio, http://web.cip.com.br/nobo/,
del cual puede bajar gratuitamente un programa (NOBO) que lo que hace es detectar
cuando alguien con el Back Orifice lo quiere capturar. Aunque haya verificado
que no tiene instalado el BO, le sugerimos instale este otro muy útil programa. |
| DETECCIÓN MANUAL Y ELIMINACIÓN |
En Windows
98, hay otra forma para deshacerse del BO si es que uno no tiene confianza en
estos antígenos, y los pasos son los siguientes:
1º Vaya
a Inicio / Programas / Accesorios / Herramientas del Sistema / Información del
Sistema.
2º Haga
click en Herramientas y luego en Programa de Configuración del Sistema.
3º Haga
Click en la solapa INICIO.
4º Fíjese
en la columna donde aparecen listados los nombres de los programas que se ejecutan
automáticamente al iniciar Windows, y busque una línea en la que el nombre del
programa no figure. Si Ud. encuentra una línea sospechosa, haga click a su lado
para indicar que no se ejecute. Esto deshabilita la ejecución del BO Server
al inicio de Windows. Haga click en Aceptar para salir del programa y reinicie
su Computador.
5º Muy bien,
ahora, el Back Orifice no se ejecutara al encender su maquina, pero... aun lo
tiene instalado en su disco rígido... Para asegurarse de que no exista la posibilidad
de volver a ser ejecutado accidentalmente, vaya al explorador, ingrese en la
carpeta Windows\System y haga click en Tamaño (esto ordenara los archivos existentes
por su tamaño en bytes). Ahora busque todos los programas o archivos que se
encuentran en la franja de los 120 Kb a 126 Kb. Una vez ubicado, busque un archivo
que no contenga icono (habitualmente, el BO se llama ".EXE", pero
podría tener cualquier nombre). Si ve este archivo, bórrelo... Ah! y no olvide
vaciar su papelera de reciclaje! |
|
|
| NETBUS |
|
Un programador
Sueco llamado Carl-Fredrik Neikter, diseño un programa troyano (Troyan Horse)
llamado NETBUS. Netbus consiste en un programa del tipo ‘cliente’ que
se ejecuta, al igual que el Back Orifice, en una computadora remota para tener
acceso a cualquier maquina conectada a Internet, mediante el protocolo de comunicaciones
TCP/IP.
Es necesario
que en la computadora de la "víctima" este instalado el servidor de
este programa. Este programa puede ser instalado de diversas maneras, algunas
de las reportadas incluyen: transferencia de archivos vía Chat, como adjunto
a e-Mails, aprovechamiento de fallas de seguridad en navegadores y programas
de correo e instalación física en maquinas.
El programa
servidor del Netbus –el que se instala en la maquina de la víctima- puede tener
cualquier nombre, esto hace dificultosa la búsqueda, pero no la imposibilita.
Habitualmente, el Netbus lleva el nombre de PATCH.EXE (un nombre muy común en
sistemas que indica una actualización de algún sistema existente)
| CAPACIDADES DEL SISTEMA |
El sistema
Netbus, permite controlar remotamente una maquina infectada con el servidor.
Dentro de sus realmente amplias posibilidades están:
- Abrir y cerrar la unidad
de CD rom
- Mostrar alguna imagen
- Intercambiar los botones
del Mouse
- Iniciar determinadas
aplicaciones
- Ejecutar determinados
archivos de sonido
- Posicionar el puntero
del mouse en un determinado par de coordenadas
.
- Mostrar un mensaje en
pantalla (donde la respuesta es enviada al atacante).
- Apagar la maquina (Shutdown)
o Cerrar la sesión del Usuario
.
- Enviar a la victima a
una dirección de internet determinada.
- Enviar texto a la aplicación
en uso (captura de teclado)
.
- Tomar nota de lo tecleado
por la víctima (y enviar esto al atacante).
- ‘Fotografiar’ la pantalla
que esta siendo usada.
- Copiar cualquier archivo
de la maquina de la víctima
.
- Aumentar o disminuir
el volumen
.
 |
Aunque
esto es aparentemente importante, posee también otras funciones las cuales
pueden quitar el sueño a mas de uno... Qué opina acerca de que alguien en
una maquina remota –donde remota adquiere una notación muy particular porque
puede ser cualquier lugar del mundo- grabe en un archivo del tipo audio,
toda conversación que sea captada por el micrófono de su hermosa computadora
multimedia? O más aún, que opina acerca de que alguien grabe en un video
lo que su preciosa WebCam (Cámara para Videoconferencia) esta tomando en
este momento? Sí! Esa que tiene sobre el monitor en este momento y que uno
piensa que domina... ciencia-ficción, Terror, el género que elija... Todo
cae bien a la hora de calificar este tipo de programas... |
|
| LIMPEZA DEL NETBUS |
|
Microsoft
Windows (tanto 95 como 98) tienen un programa, denominado REGEDIT.EXE que es
el editor de la tabla de registros, una base de datos muy especial que es la
que maneja todo lo instalado en su maquina, y donde se graban todos los datos
necesarios para que los programas instalados ubiquen los distintos componentes.
Las modificaciones
en la tabla de registros (Registry) deben realizarse con suma precaución
dado que una alteración indebida en algunos de sus datos, puede ocasionar que
el sistema deje de funcionar correctamente.
Si Ud. es
un usuario avanzado, quizá desee destruir este programa "con sus propias
manos" en lugar de hacerlo con un programa de terceros. De no serlo, le
sugerimos utilice cualquier programa antivirus que lo reconozca y elimine.
El servidor
de Netbus, se instala en el registro de windows debajo de la clave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
y debería tener un comando del tipo de DOS tal como /nomsg, /noadd o similar.
La entrada de este registro apunta al archivo y a la ubicación del mismo en
su disco.
Es necesario
remover la Sub-clave en primer termino. No es posible remover el programa mientras
esta en ejecución, por lo tanto luego de remover la clave, deberá apagar su
PC, y luego de iniciada, recién podrá borrarlo del disco.
Un software
que remueve este troyano es el "BOClean" en su versión 2.01, y puede
utilizarlo si es que no desea hacerlo manualmente.
Puede también
intentar la búsqueda de programas de eliminación de este troyano en Internet.
Así como
hay gente ocupando su tiempo en la creación de este tipo de programas, para
muchos de nosotros es una verdadera alegría saber que también están los que
dedican tiempo a su eliminación...
Baje
el texto completo para Word 97 (tamaño 148k).
|
|
|
