home *** CD-ROM | disk | FTP | other *** search
/ Hackers Handbook - Millenium Edition / Hackers Handbook.iso / library / hack / anti-bo.txt < prev    next >
Encoding:
Text File  |  1998-10-31  |  7.0 KB  |  184 lines
  1. ANTI-BO.txt version 0.1.2
  2.  
  3. * Skip to there for quick instructions
  4.  
  5.  This file is intended to:
  6.  
  7.  1) Familiarize the populace with the trojan: Back Orifice
  8.  2) Enable the reader to recognize if they are infected
  9.  3) Show how to identify the pertinent files
  10.  4) Show how to delete them
  11.  5) Explain the effects BO has on your system
  12.  
  13. 00 Table of Contents
  14.  
  15.    What is Back Orifice?...........................................01
  16.    How does Back Orifice work?.....................................02
  17.    Finding out if you are infected.................................03*
  18.    Finding the Back Orifice files..................................04*
  19.    Deleting the files..............................................05*
  20.  
  21. 01 What is Back Orifice?
  22.  
  23.    Back Orifice was published by the Cult of the Dead Cow for the "benign"
  24.    purpose of making a simple and efficient client/server relationship
  25.    between two computers.
  26.  
  27.    Of course, we all know it's just another trojan, but with little to no
  28.    knowledge, the average newbie hacker can take over your entire system
  29.    and make it do their bidding.
  30.  
  31. 02 How does Back Orifice work?
  32.  
  33.    Imagine if you will.  A person, much like you or me, goes to the CDC
  34.    website and downloads bo120.zip.  They unzip it, and read the readme.
  35.  
  36.    They simply rename boserve.exe (the trojan) to an innocent sounding name.
  37.    Then they run BOCONFIG.  This gives them the following options:
  38.  
  39.     * When the trojan is run, what name to hide itself under
  40.     * What port to open
  41.     * What registry name to us
  42.     * An encryption password
  43.     * Plugin to run
  44.     * File to attach
  45.  
  46.    We really only need to be concerned about the first two, but I will dis-
  47.    cuss the latter in a moment.
  48.  
  49.    Once boserve.exe (or innocent sounding name) is configured (btw, the
  50.    name it can hide itself under can be any extension, so don't be looking
  51.    for exe, com, dll, and vxd only) the person will either start sending it
  52.    to people just like that, or they'll take apart legitimate zip files and
  53.    add it to the setup routine.
  54.  
  55.    When you (the victim) receive the file, and are tricked into running it,
  56.    here's what happens.
  57.  
  58.     1) Boserve looks at it's configuration, and extracts the full trojan
  59.        under the name it's been told to use, and places it in
  60.        C:\WINDOWS\SYSTEM (in this version, that's the default directory)
  61.     2) Edits your registry and gives itself a valid name.
  62.     3) Loads itself into memory and makes itself a lowend level program.
  63.        (Loaded on startup, but not shown in Task Manager)
  64.     4) Opens a listening port on your internet connection
  65.  
  66.    Once this is done, everytime you are on the net, you are a potential
  67.    target.  DO NOT think that if you are not on irc you can't be hit.
  68.    BO has a nifty addition which scans entire subnets, so if the "elite
  69.    hacker" types in the first 3 sections of an ip, he can scan all 255
  70.    people using it.
  71.  
  72. 03 -- Finding out if your infected
  73.  
  74.    If you skipped to this section, you are in a hurry.
  75.  
  76.    1) Open a dos prompt
  77.    2) type: NETSTAT -a -n
  78.  
  79.       This will list all your connections and open ports.
  80.       If you see an open UDP connection under the following criteria:
  81.  
  82.       1) The port of the UDP is 31337, 666, 411 (can be others, most common)
  83.       or
  84.       2) The ip of the UDP is 0.0.0.0
  85.  
  86.       You are infected.
  87.  
  88.       If you cannot access netstat.exe, arp.exe, or other network identifying
  89.       programs you are probably infected and the "hacker" has melted them.
  90.  
  91.       If you cannot use netstat, open FIND in Windows 95/98 and look for
  92.       windll.dll (should be in C:\WINDOWS\SYSTEM
  93.  
  94.       Note that not all UDP connections with 0.0.0.0 mean you are infected,
  95.       try to find someone in #backorifice who will scan you to make sure.
  96.                              (Undernet)
  97.  
  98. 04 -- Identifying the files that are ruining your life.
  99.  
  100.    There are several ways, the safest is to download anti-gen or something,
  101.    but in all likelyhood, downloading a helper while being attacked on the
  102.    net isn't the brightest thing in the world.
  103.  
  104.    My main two methods:
  105.  
  106.    1) Search for the file windll.dll in C:\WINDOWS\SYSTEM, if you find it,
  107.       use method two.
  108.  
  109.    2) Open FIND again, and set the directory for C:\WINDOWS\SYSTEM
  110.       Go to Advanced, and put: bofile  in the search for text box.
  111.  
  112.    3) Open a dos prompt
  113.       Switch to C:\WINDOWS\SYSTEM
  114.        (CD SYSTEM)
  115.       Type: DIR /OS /P and go down until you reach the sizes that are 124k
  116.  
  117.       Open the files and if you see a part that looks like this:
  118.  
  119.  
  120. I/O control operation- not enough space for lowio initialization
  121. - not enough space for stdio initialization
  122. - pure virtual function call
  123. - not enough space for _onexit/atexit table
  124. - unable to open console device
  125. - unexpected heap error
  126. - unexpected multithread lock error
  127. - not enough space for thread data
  128.  
  129.       Then that file is one of the ones that need to be deleted.
  130.       (Note that the above is included in many legitimate VC++ applications,
  131.       so only delete the ones that are 123-125k)
  132.  
  133. 05 -- Deleting the $&@*#itch BO files
  134.  
  135.   Most likely you cannot delete the files if you are running Windows, since
  136.   that would be an access violation to kill a file in use.
  137.  
  138.   Restart in MS-DOS and blow away the files you've indentified.
  139.  
  140.   For the ms-dos illiterate, type del /? for deletion instruction
  141.  
  142.   WINDLL.DLL is a Back Orifice Library, delete it with prejudice.
  143.  
  144.   Registry:  Open your registry data by Start:Run  and the file name is
  145.              regedit
  146.  
  147.   HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices
  148.   Use your own discretion when deleting the values, please note that it is
  149.   not actually necessary to delete them after deleting BO.  I urge you to
  150.   use a professional program.
  151.  
  152.  Afterword:
  153.  
  154.    This is the first version of Anti-BO.txt
  155.  
  156.   I'd like to thank Vampress, for inspiring me to write this.  She constantly
  157.   sends BO to IRC newbies and here's her static IP:
  158.  
  159.   168.95.4.10  (Vampress/S|NBAUD)
  160.  
  161.   Thanks go to beerman and sk8masta, I got more information from helping them
  162.   rid themselves of BO than anywhere else.
  163.  
  164.   If you have further questions about BO and it's effects, I can usually
  165.   be found on Undernet, under the name: Xenos, Xenocide, Xenoscide
  166.  
  167.    9-22-98  Xenoscide    daemus@digicron.com
  168.    Last Updates: 9-21-98
  169.                  9-20-98
  170.  
  171.  
  172.  Legal Information:
  173.  
  174.     This text file is not copyrighted.  It is my wish that it be freely
  175.    distributed as fast and as far as possible.  As for copying and trying
  176.    to the credit; if you are that low of a human being go for it.  You'll
  177.    make yourself seem stupid and ignorant when people start wondering why
  178.    my version was out first, but that is your problem. =)
  179.     If you require any help, or have further questions: email me at
  180.    daemus@digicron.com
  181.     I can usually be found in #backorifice on Undernet (bo removal channel)
  182.     People to trust: El-Jai, VVatchdog, and nuclei (make sure they are from
  183.     #backorifice, heh)
  184.