Back Orifice ("BO")
Backdoor für Windows 95/98


Back Orifice: Die Story (Einleitung)

Back Orifice (sprich: "oarrifiß" und nicht "oarrifeiß" - auf deutsch: "Hintere Öffnung") ist ein Trojanisches Pferd, das von der Hackergruppe "Cult Of The Dead Cow" (cDc) geschrieben wurde und seit dem 3.8.98 im Internet verfügbar ist. Auch wenn es von cDc als "Remote Admin Tool" bezeichnet wird und Microsoft das Programm in einem Bulletin als nicht gefährlich eingeschätzt hat, handelt es sich bei diesem Trojaner, neben NetBus, um eine der stärksten Bedrohungen, die es zur Zeit im Internet gibt.
Um die Aufklärung hat sich in Österreich der Klein-ISP Abacus hervor getan, der jedoch teilweise mit sehr fargwürdigen Mitteln gearbeitet hat. Sowurde zum Beispiel - ohne Wissen der Anwender - ein österreich-weiter Scan von Rechnern vorgenommen und in alle Rechner, die einen aktiven BO-Server hatten ein Programm installiert, das eine Warnmeldung auf den Monitor schrieb. Über dieses Thema wird u.a. im Abacus-Forum diskutiert.

Back Orifice: Eigenschaften und Funktionsweise

Back Orifice) besteht aus einem Server- und einem Client-Programm, welches zur remote Bedienung von Rechnern in einem Netzwerk (Intra- oder Internet) eingesetzt werden kann. BO ist selbstinstallierend und kann an andere Programme angehängt werden, so daß eine Verbreitung u.U. unbemerkt erfolgt. BO wird in der Task-Liste nicht angezeigt und wir beim Hochfahren des Rechners unter einem beliebigen Namen gestartet. Während der Back Orifice-Client auf allen möglichen Betriebssystemen lauffähig ist, gibt es den Back Orifice-Server nur für Windows 95/98.
Back Orifice hat u.a. folgende Funktionalitäten:
  • Aufzeichnen von Tastatureingaben
  • Steuern von Multimedia-Funktionen, wie z.B.
    • Erstellen von Screen-Shots
    • Bedienung angeschlossener Video-Kameras etc.
    • Abspielen von Wav-Dateien
  • Rebooten des Rechners
  • Auslesen von Systeminformationen, wie z.B.
    • CPU
    • Windows Version
    • Speicherauslastung
    • Passwords des Bildschirmschoners, Netzwerk-Zugängen, Web etc.
  • Up- und Download von Files
  • Aktivieren eines HTTP-Servers (auf einem beliebigen Port)
  • Manipulationen am Filesystem, wie z.B.
    • Kopieren
    • Löschen
    • Umbenennen
    • Suchen
  • Modifikation von Registry-Schlüsseln und -Werten, also
    • Auflisten
    • Erstellen
    • Löschen
  • Prozeßkontrolle
  • Netzwerkkontrolle (incl. Umleiten von Paketen!)
  • Monitoring von Netzwerkpaketen (mit Plug-In "BUTTSniffer")
  • Scannen eines Netzes nach aktiven BO-Servern (Vorsicht! - s.u.)
Desweiteren besitzt Back Orifice ein PlugIn-Interface, über das ein beliebiger Programm-Code unentdeckt ausgeführt werden kann. Über diese Schnittstelle ist BO jederzeit remote "updatebar".
"Back Orifice" nutzt in der Default-Einstellung den Port Nr. 31337 des UDP-Prokolles. Allerdings kann die Portnummer beliebig verändert werden. Die Übertragung der Pakete zwischen BO-Server und BO-Client erfolgt mit einer schwachen Verschlüsselung.
 
Hinweis:
Es gibt konkrete Untersuchungen, die zeigen, daß Back Orifice beim Scannen des Netztes auf aktive Server, jede gefundene Adresse per http an www.netninja.com sendet. Auf diese Weise besteht die Möglichkeit, dort eine riesige Datenbank mit aktiven Back Orifice-Servern aufzubauen. Mehr Informationen zu diesem Thema finden Sie - allerdings auf Englisch - hier.

Back Orifice: Erkennen und Beseitigen

Manuelle Entfernung

Öffnen Sie die Registry und schauen unter dem Schlüssel "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices" nach einem Eintrag mit dem Namen "<blank>.exe" (Default-Filename) bzw. mit einem Eintrag der Länge 124,928 (+/- 30 Bytes). Löschen Sie diesen Eintrag; er bewirkt, daß der Back Orifice-Server bei jedem Windows-Start automatisch aktiviert wird.
Das Programm selbst liegt im allgemeinen im Verzeichnis "\Windows\System" und ist daran erkennbar, daß es kein Programm-Icon hat und eine Größe von 122 KByte (oder geringfügig mehr) besitzt. Sollten Sie die Datei aus irgendwelchen Gründen nicht finden, kann es Ihnen helfen, daß verschiedene Informationen als ASCII-String im Prgramm-Code zu finden sind; so ist mit großer Wahrscheinlichkeit die Zeichenkette "bofilemappingcon" enthalten, die Sie über Suche im Explorer finden werden.
Zusätzlich zur Back Orifice-Prgramm-Datei wird im selben Verzeichnis noch die "WINDLL.DLL" zum mitloggen von Tastatureingaben installiert, die Sie auch sinnvoller Weise löschen, die aber alleine keinen Schaden anrichten kann.
Eine ausführliche englische Beschreibung zum batchgesteuerten Entfernen von Back Orifice finden Sie bei Bardon.

Automatische Erkennung und Beseitigung per Virensucher oder "Entseuchungs-Programm"

Es gibt auch einige Programme, die Ihnen das Auffinden und Löschen des Programmes ermöglichen (sollen). So besitzt z.B. die neueste Version des Virenscanners F-Prot eine Erkennung des Back Orifice Trojans. Informationen und das aktuelle Update finden Sie hier.
Zwei Spezial-Programme zur Beseitigung von BO sind B.O.R.E.D und BoDetect. Beide Programme gelten als vertrauenswürdig.
Inzwischen gibt es auch einen Onlinetest, der allerdings nur Standard-Installationen erkennt. Diese machen jedoch den größten Teil der "Back Orifice-Verseuchungen" aus!
VORSICHT: Es gibt auch einige Programme, die angeblich BO entdecken sollen, stattdessen diesen aber installieren (z.B. BoSniffer).
Deswegen ist im Zweifelsfall eine manuelle Beseitigung immer der bessere Weg. Am sichersten ist es natürlich, wenn Sie Ihre Platte neu formatieren, alle Programme neu installieren und nur die (alten) Daten von einem Backup einspielen.
 

Back Orifice: Rechtliche Fragen, FAQ

Da diese Fragen für alle Backdoor-Programme dieselben sind, habe ich sie auf einer eigenen Seite zusammengefaßt. Bitte lesen Sie diese, bevor Sie mir eine E-Mail senden!

 

Dateien (lokaler Download):

Back Orifice Programm(e) Client + Server + Info (zip-File)

Links:

Back Orifice Programm Orginalseite von "Cult of the Dead Cow" (engl.),
incl. Plug-In "BUTTSniffer"
Deutsche Beschreibung mit Screen-Dumps von BO
Infos und Links zu Back Orifice (engl.)
Back Orifice ButtPlugs and Goodies Programm-Ergänzungen zu Back Orifice (s.o.)
Trojan Hacking Section von Hack City, mit (weiteren) Backdoor- und Anti-Trojan-Programmen
Weitere Informationen in der BUGTRAQ-Datenbank des NetSpace-Projekts
   
   

 
Informationen und Links zu weiteren Trojanischen Pferden und Hintertüren finden Sie auf meiner "Trojaner Seite".
 

Haben Sie sich schon in meinem Gästebuch eingetragen?
Bei Fragen und Problemen posten Sie bitte in meinem Internet- und Security-Forum.
In besonderen Fällen erreichen Sie mich auch per E-Mail!

Homepage [zurück zur Trojaner-Seite]

(Diese Seite wurde erstellt am 1.10.1998,
der letzte Update fand statt am 21.11..2004)


Dieses Angebot ist erreichbar über http://www.tcp-ip-info.de, http://www.trojaner-und-sicherheit.de, http://www.internet-und-sicherheit.de und http://www.tcp-ip.de.gg