8月8日,电脑报网站和网易电子刊物出现如下消息:
黑客推出入侵Windows工具Back orifice
一个黑客群体日前发布了入侵Windows的程序Back Orifice。该程序可以使用户经由TCP/IP网络进入并控制远程Windows微机。Back Orifice是在日前于美国拉斯维加斯召开的黑
客年会DefCon VI上发布的,不少与会者带着面具以防他人认出自己。据说它是由一位自称是
Sir Dystic的20多岁的程序员开发的。此人属1984年成立的黑客群体The Cult of the Dead
Cow的成员。
看到此则消息,我们很感兴趣。因为早就听说黑客组织即将推出针对Windows95的攻击软
件,而微软的安全部官员一直对此消息表示不屑一顾。此次实物推出,怎么也要弄来看看。
一、试用情况
经过我们试用证实,此软件并非人们想象的那么厉害。但是在被攻击者完全不知情的情
况下,却也具有相当的危害性。
1.Back Orifice的构成:
bo.txt 软件说明
plugin.txt plugin编程文档
boserve.exe Orifice自安装服务器程序
bogui.exe 图形界面的客户端控制程序
boclient.exe 文本方式的客户端控制程序
boconfig.exe 对Boserver.exe安装方式进行设置、 指定文件名、监听端口、控制
口令等
melt.exe 解压被freeze压缩的文件的程序
freeze.exe 压缩可以被melt解压的文件的程序
2.侵入方式:
先运行Boconfig.exe对Boserver.exe进行设置,然后将Boserver.exe发送给要攻击的计
算机(比如通过电子邮件等)。对方运行Boserver.exe后,Boserver自动安装到Windows中,
并立刻销毁Boserver.exe,此时你的系统已经为远方的系统侵入者留下了方便的后门。以后
当你的Windows启动连入网络后,此程序就会秘密监视网络的消息,一旦发现远方的控制指令
,就会秘密地予以回应,可以让远方的控制者掌握对机器的完全控制权。此后在你不知情的
情况下,远方的侵入者可以随时在因特网上无限制的访问你的计算机,就如同访问他桌上另
一台机器一样方便。
这种侵入方式,让我们不由得回想起荷马史诗中的特洛伊木马的故事。所以这种侵入可
以说成是一种特洛伊木马程序。它虽没有原来宣称的那么可怕(当初宣称是运行Back Orifice后可以随意攻击网络上其他运行Windows的计算机),但是你也不能掉以轻心。 特洛伊木马
程序在计算机安全的防卫中占有一席之地。因为早在UNIX时代,这种“木马程序”就已屡见
不鲜。最著名的一个用来骗取其他用户口令的程序就是如此做的:它先将原有的Login程序改
名,然后将自己改名成Login。当用户准备登录系统时,他会运行Login(当然此时他运行的
已不再是原有的Login,而是假的Login)。此时假的Login就会像Login做的那样,询问用户
具体的用户名(Username)和口令(Password),然后它将这些获取的资料通过邮件命令发
送给攻击者,然后将自己改名,将真实的Login改名回来。再把用户登录给出的资料传送给真
正的Login,让它完成用户真正的登录过程。此程序然后会销毁自己,整个过程神不知,鬼不
觉。
不过根据X-Force组织对Back Orifice的评定,认为它只能算一个“后门程序”(Backdoor)。所谓“后门程序”,就是此程序隐藏于目标系统中,并允许某些访问者可以任意访问
计算机中的资源,而不必获得通常人们访问资源时必须拥有的授权或者安全认证(我认为X-
Force组织的评定更为确切一些)。
3.实验过程:
在事先向网友Staryang说明后,我向他发送了Boserver,在确定他已运行后,我开始运行
Bogui.exe,在输入对方的IP地址后,我首先使用程序中的Ping Host功能确定Bogui是否可以
正常联络对方的计算机。回应很快返回了,说明联系一切正常。
查看了一下Bogui的内置功能,发现它提供大约45种功能,可以对对方的计算机进行控制
。比较令人担心的功能有:可查看对方安装的软件,并可以增加和删除;可查看对方的硬盘
,并可以任意增加目录和删除文件;可以对对方的任意文件进行查找、冻结、查看内容以及
删除和拷贝;可以打开和关闭对方浏览WWW的功能,并记录对方所有的键盘输入内容;可以遥
控对方的多媒体播放、捕捉等功能;可查看对方当前运行的程序并可以任意终止其中的任意
程序;可任意修改对方的注册表、查看对方的系统信息,甚至可以控制对方的系统重启动。
这些功能中,我们简单实验了以下几个:
查看对方的硬盘:我输入“c:\*.*”后立刻就看到对方C盘上的所有目录和文件。然后我
在对方的C盘的TEMP目录下建立了一个TEMP1目录,经Staryang确认操作成功(为安全计,没
有实验删除文件)。
查看对方运行的程序:我选择“Process List”指令后立刻看到对方当前运行的所有程
序,并发送指令关闭其中的某个程序,经Staryang确认成功。
其他一些牵涉到可能对系统有伤害的功能(如System Reboot)没有做实验,想来也是可以
成功的。
鉴于实验的成功,我们对此Back Orifice产生了极大的戒心。你想,万一你的机器中有
了他的存在,就像你的家给人装了暗门,他可以随时随地地窥伺你和随意拿走东西,那还有
什么安全可言?
二、防范和消除的方法
在随后的日子里,我们密切关注网络论坛,搜集如何防范、检查和消除Back Orifice的
消息。很快有了如下结果:
1.Boserver.exe的大小为284160字节(注:不对,应是19xxxx),你只要小心此大小的网
络文件即可。
2.Boserver.exe的运行结果非常特别,就是运行后什么也没有发生,但是原程序却不见
了。如果你遇到此种情况,可以90%肯定已经被攻击。
3.查看你的注册表。一般Back Orifice会在注册表的如下项目中添加一个程序文件名:
即在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\RurrentVersion \RunServices中
添加一个诸如“ .exe”的文件名。
一般默认的是“ .exe”,别怀疑,就是这个名字。如果你经常备份你的注册表,你完全
可以删除现在的注册表,然后从备份中重新生成一个。没有了注册表的入口,Back Orifice
将不再发生作用。同时,你也可以在你的Windows/system目录下,查找一个“ .exe”,那就
是我们要寻找的Boserver(注意,Boserver并不确保最后安装的文件名就是“.exe",这只是
它默认安装的名字,也有可能不是此文件名)。
4.有专门的对付特洛伊木马的程序,使用它即可。
三、后记
此Back Orifice必须要求对方运行Boserver后方才有效,可是谁会那么呆去主动运行它呢
?所以,该程序充其量不过是一个远程控制软件而已, 正如微软的安全公报所说的, 该软件
其实要求你先装入Sever 端, 然后再启动 Client 端进行控制。 虽然要将其作为特洛伊木马
安装到欲控制的机器上不算很困难, 但毕竟这不是 Win95/98 的 Bug, 而是利用机器所有者
的疏忽而已。而且该 Server 不能运行于 NT 之上, 实际上意义也不大, 黑不到什么东西,顶
多搞搞恶作剧而已。 但是将其合理利用, 倒也不失为一个好软件(比如你想和某人共享机器
里的资源的时候)。
(注:特洛伊木马棗一个著名的故事,传说古希腊人久攻特洛伊城不下,最后佯装撤退,
留下了内部装有勇士的木马。结果特洛伊人高兴将木马作为战利品拉回城中,半夜时木马中
的勇士出来打开城门,与攻城的大部队里应外合攻克了特洛伊城。
木马程序棗泛指那些内部包含有为完成特殊任务而编制的代码的程序,而这些特殊代码
一般处于隐藏方式,执行时不为人发觉,而其功能完全和程序所标称的功能无关。)
随着The Cult of the Dead Cow的黑客组织发布了专门入侵Windows的程序Back Orifice。该程序可以使用户经由TCP/IP网络进入并控制远程Windows微机。在被攻击者完全不知情
的情况下,具有相当的危害性。此程序隐藏于目标系统中,并允许某些访问者可以任意访问
计算机中的资源,而不必获得通常人们访问资源时必须拥有的授权或者安全认证。
Back Orifice提供大约45种功能可以对对方的计算机进行控制。比较令人担心的功能有
:
可查看对方安装的软件,并可以增加和删除;可查看对方的硬盘,并可以任意增加目录
和删除文件;可以对对方的任意文件进行查找、冻结、查看内容以及删除和拷贝;可以打开
和关闭对方浏览WWW的功能,并记录对方所有的键盘输入内容;可以遥控对方的多媒体播放、
捕捉等功能;可查看对方当前运行的程序并可以任意终止其中的任意程序;可任意修改对方
的注册表、查看对方的系统信息,甚至可以控制对方的系统重启动。
防范和消除的方法:
1.Boserver.exe的大小为284160字节,你只要小心此大小的网络文件即可。
2.Boserver.exe的运行结果非常特别,就是运行后什么也没有发生,但是原程序却不见
了。如果你遇到此种情况,可以90%肯定已经被攻击。
3.查看你的注册表。一般Back Orifice会在注册表的如下项目中添加一个程序文件名:
即在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\Rurrent Version\RunServices中
添加一个诸如“ .exe”的文件名。同时,你也可以在你的Windows/system目录下,查找一个
“ .exe”,只要将这个文件删除、重新命名、移走,或在注册表中将此文件删除即可。
4.使用专门防杀程序。
