Электронная библиотека
Хакер
Back Orifice 2000, к вашим услугам, господа!
Xakep, номер #007, стр. 007-034-3
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx Рис. 2 xxxxxxxxxxxxxxxxxxxxxx
Работа с клиентской частью BO2K вопросов не вызывает. Создается новое подключение, вводится IP адрес машины, на которой установлен сервер, указываются параметры сервера. Все как обычно. Ну, разве только то, что если сервер использует алгоритм шифрования 3DES, то этот же модуль должен быть установлен и в клиентскую часть BO2K.
Самое время задать вопрос: а что сейчас, используя уже написанные plugin-ы, можно сделать с машиной, «зараженной» BO2K?
Ответ: Да почти все! BO2K - один из самых совершенных инструментов удаленного администрирования на сегодня. Он позволяет контролировать все ресурсы компьютера, на котором он установлен, от клавиатуры до видеокамеры, если у пользователя она есть. Так что твоим врагом может стать даже обычный микрофон... да что там микрофон! Твоя верная мышка может в один прекрасный день тебе изменить с наглым троянцем. О своих файлах, паролях и системных настройках тоже можешь не волноваться - о них позаботятся! (Более конкретно я распространяться не буду, поскольку мне просто лениво перечислять тебе одну за другой все семь десятков команд, которыми обменивается клиент BO2K со своим сервером. :)
Теперь о грустном. Производители антивирусов не спят и уже начали работать над обновлениями своих программных продуктов, так что к моменту выхода этой статьи, я полагаю, «оригинальная» версия BO2K будет отлавливаться чем угодно... С другой стороны, удастся ли антивирусам так же точно определять «самопальные» версии этого троянца? Что-то я очень сильно в этом сомневаюсь... Тем более что на основании исходных текстов «грамотные» люди могут писать собственную уникальную версию BO2K для каждого конкретного случая.... Поживем - увидим!
А напоследок я тебе скажу вот что: проверь-ка свой каталог Windows\System на предмет наличия в нем файла UMGR32~1.EXE и поищи внимательно в системном реестре ключ UMGR32.EXE (по адресу
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices), а еще лучше - обнови свой антивирус и поставь себе, наконец, AtGuard...
Береженого, знаешь ли, бог бережет! Желаю удачи!