Back OrificeBo è un backdoor progettato per Windows .
Permette di prendere il controllo di una macchina, Gli intrusi possono accedere al server di Bo usando una interfaccia testuale per Unix o un client grafico per Windows.
Bo permette a gli intrusi di eseguire comandi, leggere file ed eseguire trasferimenti di file da e verso la vostra macchina, modificare il registry, avviare e fermare i processi e tantissimi altri trucchi.
Il server di Bo Installa una copia d se stesso nella cartella del sistema, C:\Windows\System, come file di tipo .Exe con un nome di file qualsiasi; crea una chiave nel registry in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunServices con il nome del file del server e per descrizione il testo " (default) " ; il server si mette in ascolto sulla porta 31337 con protocollo udp, ma questi parametri possono essere stati modificati dal intruso
Per determinare se siete vulnerabili eseguite il programma Regedit (c:\windows\regedit.exe) e leggete il contenuto della chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunServices.
Cercate file sospetti cioè quelli che potrebbero non essere stati caricati intenzionalmente da voi o da uno dei programmi che avete installato.
Se ne trovate uno lungo circa 124.928byte, 30 byte ,
probabilmente avete trovato Back Orifice.
Ulteriori informazioni su Bo possono essere ottenute all'indirizzo www.cultdeadcow.com
NetBusNetBus, consente tramite un semplice pannello di controllo, di svolgere le stesse funzioni di Bo e altre ancora.
Tra queste l'apertura del microfono del vostro Pc e l'ascolto di cosa state dicendo, o più semplicemente l'apertura e chiusura del cassetto del lettore Cd-Rom.
NetBus usa Tcp per la comunicazione e usa sempre le porte 12345 e 12346 per ascoltare. Il comando Netstat vi dira' se NetBus è installato digitando:
netstat -n | find " 12345 "
A questo punto eseguite telnet collegando localhost (127.0.0.1) sulla porta 12345.
Se NetBus è installato sarà visualizzata una stringa simile a " NetBus 1.53 " o " NetBus 1.60 " .
Il protocollo di NetBus non è cifrato e i comandi hanno un formato semplice
Potete trovare ampi approfondimenti, sul sito della X-Force, internet Security Systems Inc.http://www.iss.net/xforce
Qui trovate un database, completo e molto aggiornato per tutte le piattaforme, dei rischi e dei rimedi cui possono essere esposte le vostre macchine sulla rete.
Nessun commento:
Posta un commento