home *** CD-ROM | disk | FTP | other *** search
/ Chip 1999 August / CHIP_CD_1999_08_PL.iso / software / antitrojan / liberator / docs / bo.txt
Encoding:
Text File  |  1998-11-02  |  4.1 KB  |  77 lines
  1. Information about "Back Orifice"
  2. ================================
  3. as of 22nd September 1998
  4.  
  5.  
  6. Name:                Back Orifice
  7. Alias:               BO
  8. Author:              Sir Dystic [cDc]
  9. Origin:              United States
  10. Release Date:        30th July 1998
  11. Version:             1.20
  12. Size:                124'928 Bytes plus config data record
  13. Type:                Trojan Horse
  14. Dangerous:           Very
  15. Vulnerable Systems:  Windows 95/98
  16. Customisable:        Fully, incl. PlugIn's
  17. Droppers:            Available
  18. Comment:             Extremely powerful
  19.  
  20.  
  21. Description:
  22.  
  23.   Back Orifice is the most popular trojan at the moment. Since its release on DEFCON VI
  24. by Cult of the Dead Cow (cDc), it has spread extraordinarily fast around the globe.
  25. Well, Sir Dystic did a great job. Back Orifice is the most powerful trojan available at
  26. present. It is configurable for many special purposes by using plugins. The many options
  27. make it no easy toy for hacker kids however. One must know a lot to use this one right.
  28.  
  29.  
  30. Basics:
  31.  
  32.   Back Orifice hides itself from the task list when active. Upon infection, it installs
  33. itself in the Registry as server, therefore launched by Windows upon system boot. It
  34. copies itself into the <WindowsRootDir>\system directory, and then deletes the installer.
  35. The standard installer has an invisible icon.
  36.  
  37.   You need to have Windows 95 or 98 to get infected. BO wont install itself on a NT system.
  38. For infection it is needed that you run the executable on your system. It is *not* possible
  39. to get infected by just browsing the web or reading E-Mails. Theoretically. However,
  40. there are bugs in many Internet software packages, including Microsoft Internet Explorer,
  41. Microsoft Outlook Express and Netscape Communicator. Some bugs may allow someone to run
  42. arbitrary code on your machine without the need for your help. But these bugs are *very*
  43. difficult to exploit, and this can only be done by a true hacker. Those attacking you with
  44. Back Orifice however usually are only kids playing superhacker, so you needn't get worried
  45. about those security bugs too much. But to be on the safe side please install the updates,
  46. service packs and bugfixes for the Internet software and for your Windows, available at
  47. www.microsoft.com and www.netscape.com.
  48.  
  49.  
  50. Tech:
  51.  
  52.   Back Orifice is fully configurable. The standard port is 31337, name is " .exe" and
  53. it uses no password. But this can all be configured. BO alway places an entry in the
  54. RunServices section in the Registry. BO uses the UDP protocol for communication, which
  55. means that it is not locatable by a common port scan. It only responds to packets
  56. encrypted using the password it was configured to by the attacker. It has also the option
  57. to run plugins. These plugins can be written by anyone, and therefore is a BO server not
  58. limited to its standard functionality, but can easily be extended with other functions,
  59. known examples include sending a mail upon infection, and connecting to an IRC server
  60. and tell all the chatters there that the computer is infected. BO lends full control over
  61. the infected machine, including: application launch and control, directory and file mgmt,
  62. net connection and share mgmt, compression and decompression, HTTP server, keyboard log,
  63. screen capture, webcam capture, play sounds, ping, plugin mgmt, process mgmt, port
  64. redirection mgmt, Registry mgmt, resolve host, display dialog boxes, system information
  65. including cached passwords, lockup, reboot, TCP file send and receive.
  66.   There is the possibility to misconfigure BO so it will not copy itself to the system
  67. directory but stay where it is and run from there. The Registry entry in this case is not
  68. valid, which makes it harder to locate.
  69.   BO leaves a file called windll.dll in the system directory. This dll is used for hooking
  70. the keyboard.
  71.   Droppers are available, enabling anyone to package BO into another program, infecting
  72. the target upon execution of that program. The most powerful of these droppers,
  73. SilkRope 2.x, even encrypts BO, so it wont be located with a common file scan. However,
  74. the encryprion is very simple and easily scanned by a good scanner (like Liberator).
  75.  
  76.  
  77.