sekure/uground industries - Security Bulletim ........................................................ www.sekure.org -> sekure.02-98.backorifice <- 1. Descricao '`'`'`'`'`'` O grupo hacker auto-intitulado Cult of Dead Cow lancou, no ultimo dia 21, o programa "Back Orifice", em alusao ao programa "Back Office" da Microsoft, que clama ser um Remote Server Control, ou seja, que se possa controlar uma maquina rodando o sistema operacional Windows 95/98 remotamente instalando a interface de recepcao do proprio "Back Orifice". Principais caracteristicas: - O programa se auto deleta apos a execucao - Instalacao obscura e mudanca de registros A partir destas caracteristicas, pode-se inferir que o "Back Orifice" age como um verdadeiro backdoor para windows, instalando-se automaticamente na maquina do usuario e deixando o sistema pronto para conexoes remotas com o cliente do "Back Orifice". Apesar de todo esta polemica por tras deste lancamento, o "Back Orifice" so ira afetar as maquinas que realmente executarem o programa de auto-instalacao (que certamente vira em forma de um trojan). Pede-se, portanto, que os usuarios de Windows possa ter cautela em receber e executar arquivos de estranhos, ou arquivos que possam ser baixados em sites obscuros pela Internet. 2. Comprometimento '`'`'`'`'`'`'`'`'` A maquina que estiver com o sistema "Back Orifice" instalado podera ser totalmente controlada remotamente, com a possibilidade de execucao de processos, controle do file system, controle de rede e controle dos processos da maquina. E' possivel, ainda, logar todas as teclas digitadas da maquina para um arquivo, comprometendo acessos a sites seguros (cartao de credito, homebanking, etc). 3. Verificando a vulnerabilidade '`'`'`'`'`'`'`'`'`'`'`'`'`'`'`'` 1) Porta 31337 em listening (UDP) *default* No prompt do dos, digite: C:\>netstat -na udp 0 0 0.0.0.0:31337 Se alguma das linhas mostrarem a porta 31337 (udp) em listening, certamente o backdoor default foi instalado. Atencao, isto pode ser facilmente modificado para outra porta. 2) Servicos estranhos ao sistema Acesse o programa regedit.exe. Acesse o registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices Procure por servicos que nao foram intencionalmente instalados ou que possam despertar alguma suspeita. A configuracao *default* sugere um servico com nome ".exe". Procure por esta entrada. 3) Existencia do arquivo \windows\system\windll.dll O "BackOrifice" cria o arquivo \windows\system\windll.dll no \windows\system utilizando a data da versao do seu Windows, que geralmente eh 11/07/98. A existencia deste arquivo pode caracterizar uma maquina comprometida. 4) Verifique os arquivos no seu \window\system Suspeite de arquivos com entradas de aproximadamente 124 kbytes. 5) Suspeite de comportamentos incomuns ao sistema - Maquina rebootando instantaneamente sem que voce tenha desligado. - Trafego de rede (ocupacao de banda) enquanto voce realmente nao esteja usando a rede. - Utilizacao de maquina excessiva: utilizacao de disco sem que voce esteja realmente acessando o disco. - Arquivos incomuns ao sistema. - Programas fechando instantaneamente sem que voce os tenha fechado. 4. Livrando-se do BackOrifice '`'`'`'`'`'`'`'`'`'`'`'`'`'`' Para remover totalmente o "BackOrifice", remova o registro e apague o arquivo server. Se possivel, faca um backup de todos os dados, formate a maquina e instale novamente o sistema. Esteja consciente que informacoes importantes podem ter sido capturadas, desde senhas para acessos a servicos online ate senhas de homebanking. Considere trocar, se possivel, todas estas informacoes. 5. Medidas Preventivas '`'`'`'`'`'`'`'`'`'`'` Como ja fora acima mencionado, o backdoor criado pelo "BackOrifice" so podera ser instalado em sua maquina se voce *realmente* rodar o auto-instalador. Isto implica em ser coerente com os executaveis baixados pela internet (sites obscuros e nao oficiais) e com programas que os desconhecidos/amigos insistem que voce execute. Recuse as ofertas de programas para "fixar" o problema do "BackOrifice", pois isto nao eh um, na verdade, um problema com o sistema, mas uma questao de persuacao. 6. Contatos '`'`'`'`'`' sekure/uground industries - Security Bulletim uma publicacao da sekure/uground industries (tm) http://www.sekure.org - contatos: security@sekure.org Procure pelos advisories da sekure/uground industries em http://www.sekure.org/advisories.html Assine a lista Best Of Security Brasil - http://www.sekure.org/bos Mande mensagem pra bos-br-request@sekure.org Ponha "subscribe bos-br" no corpo da mensagem. ---- texto: c0nd0r - condor@sekure.org sekure/uground industries (tm) - 1998