|
|
|
BACK ORIFICE 2000 (ALIAS BO2K) CARACTERÍSTICAS: Back Orifice 2000 permite a los hackers controlar el PC de una persona a través de internet, siempre y cuando haya sido instalado en la máquina de la víctima. Opera como un RAT "Remote Access Tool". PARA DETECTAR ESTE TROYANO. ViruScan v.4.0.02 o superior PRUEBAS REALIZADAS CON: Bo2K Server - Windows 95 v4.00.950, 4.00.950 C Y Windows 98 v4.10.1998, v4.10.2222A Bo2K Client - Windows 95 v4.00.950 C, Windows 98 v4.10.1998 Y v4.10.2222A INFORMACIÓN Back Orifice 2000 ha sido distribuido como Bo2KUS.ZIP con los siguientes binarios: Bo2k.exe - 136kb, SERVIDOR BO2KGUI.EXE es la parte cliente. El cliente permite las siguientes operaciones en el sistema remoto. - Ping al sistema remoto PLUGINS Dos plugins (BO3DES.DLL y BO_PEEP.DLL) se proporcionan para el Back Orifice 2000. BO3DES.DLL parece ser un módulo de encriptación triple DES, mientras que BO_PEEP.DLL se describe como un control remoto.BO2K también se apoya en plugins viejos creados para el antiguo BO. Utilidad de configuración del servidor: BO2K viene con un programa de configuración llamado BO2KCFG.EXE. Este programa permite la configuración del cliente BO2K.EXE, como estos aspectos: - El tipo de red, opciones TCP/IP o UDP Tras la configuración del servidor, la utilidad de configuración puede modificar componentes adicionales del servidor como: QUÉ HACE BO2K BO2K es el servidor y cuando se ejecuta realiza las siguientes acciones: - Se ejecuta en el inicio de Windows. En Windows 9x: Por defecto, el archivo UMGR32~1.EXE (Nombre DOS 8.3) se copia a la carpeta c:\windows\system. El registro se modifica en: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion Sistemas NT: Por defecto, el archivo UMGR32~1.EXE (Nombre DOS 8.3) aparece en la carpeta c:\winnt\system32. El registro se modifica en la siguiente localización: [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Remote Administration Service] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Remote Administration Service\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Remote Administration Service\Enum] En el reincio siguiente, las siguientes llaves del registro son modificadas por el servidor cargado de BO2K. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Remote Administration Service] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Remote Administration Service] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Remote Administration Service] Proceso de ocultación: Bajo windows NT el servidor intenta ocultar su proceso expandiendo la memoria asignada a un proceso existente. Se autocopia en esa memoria y crea un hilo remoto que se ejecuta en el espacio del primer proceso existente. El programa original termina entonces y el proceso desaparece de la memoria. Bajo Windows9x el servidor usa una técnica diferente para esconderse de los ojos entrometidos. Parchea el kernel del sistema operativo para que cualquier llamada a aquellas funciones que listan los procesos que se están ejecutando sean pasadas al proceso del servidor BO2K, en lugar de al sistema operativo. La primera versión del actual BO2K parece tener un bug que le impide al mecanismo de ocultación trabajar bajo Windows 98 Second Edition v4.10.2222 A. Cuando corre bajo este sistema operativo el servidor provoca una "operación ilegal" y deja de permanecer residente. Sin embargo, copia el archivo a WINDOWS\SYSTEM\UMGR32.EXE e instala en el registro la llave que permite ejecutar el servidor en el inicio. Esto produce un mensaje de error cada vez que el sistema se inicia. DETECCIÓN: La detección requiere examinar todos los archivos debido a los nombres inválidos de archivo. Los usuarios que no usan el ViruScan 4.0.25 pueden derrotar el troyano a mano examinando en el modo de MS-DOS TODOS los archivos. Otro método supone reiniciar Windows98 en modo SEGURO, quitar la llave del registro y volver a reiniciar Windows, eliminando entonces UMGR32~1.EXE en una ventana DOS.
|
|
|
