13.08.1998 (Archiv)
Back Orifice
Ein neues Tool hält die Windows-Welt in Atem! Gefährlicher als jeder Virus
und ernstzunehmender als jeder Bug bietet Back Orifice (zu deutsch:
"Hintertür") einmal installiert jedermann unbegrenzten Zugriff auf Windows
95 und 98 Systeme.Stephan S. unterhielt sich gerade per Chat mit anderen Usern, als er auf
ein Update für seine Software aufmerksam gemacht wurde. Nichtsahnend
installierte er es, wurde jedoch stutzig, als offensichtlich nichts
passierte. Was Stephan S. nicht wußte: Sein PC war ab diesem Zeitpunkt ein
offenes Buch für jedermann.
Seit rund einer Woche sorgt das Programm "Back Orifice" für enorme
Aufregung im Netz. Dieses Programm bietet Fremden Zugriff auf
- Systeminformationen (wie Prozessor- und Speicherauslastung, Paßwörter,
usw.)
- Dateiebene (inkl. Kopieren, Umbenennen und Löschen)
- Registry (Systemdateien von Windows)
- Netzwerkverkehr (inkl. Redirect der Daten an eine andere Adresse)
- Tastatureingaben und Bildschirmdarstellung
Dazu muß daß rund 128 kB große Serverprogramm auf dem Zielrechner lediglich
einmal gestartet werden. Wege dazu gibt es ja viele, wie uns in
persönlichen Gesprächen ein Unix-Experte versichert: "In einer
Installationsroutine für ein vermeintlich nützliches Programm verpackt,
installieren sicher viele Ahnungslose diese Hintertüre".
Einmal installiert, gibt es kaum mehr Möglichkeiten das Programm wieder zu
entfernen. Mit einfachen Clients (für DOS, Windows und Unix erhältlich)
lassen sich alle oben geschilderte Aktion ausführen und über sogennante
Plug-Ins ist noch viel mehr - heute noch unvorstellbares - möglich.
Einmal installiert, läßt sich dieses trojanische Pferd kaum aufspüren.
Nicht nur, daß der Datenverkehr zwischen dem infizierten PC und dem Client
nicht über herkömmliche TCP-Pakete abgewickelt wird, kann das Programm
einen beliebigen Namen tragen. Der Unix-Experte weiter: "In Versuchen haben
wir festgestellt, daß die Netzwerkleitung kaum beansprucht wird. Auch
Firewalls können vor BO keinen Schutz bieten."
Microsoft selbst versucht das protentielle Sicherheitsrisiko
herunterzuspielen, da ja zur einmaligen Installation Zugriff auf den
entsprechenden PC notwendig ist. Darüberhinaus ist die Windows NT Plattform
derzeit (noch) vollkommen sicher.
Wie erkennt man nun, ob der eigene PC infiziert wurde und was kann man
dagegen machen?
Zur Protokollierung der Tastatureingaben ist eine Datei namens WINDLL.DLL
im Windows Ordner versteckt. Befindet sich diese ca. 8 kB große Datei auf
Ihrem System, raten wir zur Vorsicht. Dann sollte man im Registry-Editor
nach weiteren verdächtigen Einträgen suchen.
Allerdings ist bei einer tatsächlichen Infektion des Systems die komplette
Desinfektion kaum möglich, da ja nicht bekannt ist, ob in der Zwischenzeit
weitere "Hintertüren" geöffnet wurden.
So blieb auch unserem Stefan S. keine andere Möglichkeit als sein System
neu zu installieren.
Ihre Meinung dazu? Schreiben Sie hier!
Newsticker per eMail oder RSS/Feed!