Rückwärtiges Portal für Windows

13.08.1998, 00:00 Uhr

Lesezeit: 3 Min.

Von

Mehr als nur ein Hintertürchen öffnet Back Orifice (BO): Die Hacker-Gruppe Cult of the Dead Cow (cDc) hat dieses 'Remote Administration Tool' Anfang August veröffentlicht. Wenn es auf einem Windows-95/98-Rechner installiert ist, eröffnet es nahezu unbegrenzte Möglichkeiten der Fernwartung - dabei nutzt es ausschließlich vom Betriebssystem vorgesehene Funktionen.

Das Gemeine daran ist, daß es sich vorzüglich dazu eignet, anderen Leuten als Trojanisches Pferd untergeschoben zu werden: Der konfigurierte Server läßt sich an eine beliebige ausführbare Datei anhängen, installiert sich bei deren Start auf dem System und bleibt von da an für den unbedarften Anwender unsichtbar.

Back Orifice hat in nur 123 KByte unter anderem Platz für einen HTTP-Server. BO erlaubt umfassenden Zugriff auf das Filesystem, Prozesse, Netzwerk, die Registry, vom System verwaltete Paßwörter sowie sämtliche Tastatureingaben außerhalb von DOS-Boxen. BO ermöglicht, eine DOS-Shell (oder andere Kommandozeilenprogramme) zu starten und per Telnet zu benutzen. Insgesamt besitzt der BO-Server mehr als 50 Funktionen, die sich über einen grafischen (Windows) oder kommandozeilenorientierten Client (DOS/Windows, Unix) ansprechen lassen (siehe www.cultdeadcow.com/tools/bo.html).

BO kommuniziert mit dem Client über das verbindungslose User Datagram Protocol (UDP); die Übertragung läuft schwach verschlüsselt. Die genaue Adresse des Servers (Port) läßt sich vor der Weitergabe konfigurieren, standardmäßig lauscht BO an Port 31337.

Der Client benötigt zwar die Internet-Adresse (IP-Nummer oder DNS-Name) des Zielrechners, das Programm ermöglicht aber auch, einen IP-Adreßraum zu durchsuchen. Mit einer guten Anbindung schafft der Windows-Client ein Subnetz in rund 14 Sekunden. Für einen Scan sämtlicher Einwahl-IP-Nummern von T-Online genügen also beispielsweise rund 80 Minuten - allerdings nur zur Suche nach einem speziellen Server, also mit einem bestimmten Port und Paßwort; 'fremde' BOs antworten nicht.

Back Orifice läßt sich mit Windows-Bordmitteln aufspüren: Um beim Hochfahren des Computers gestartet zu werden, benutzt BO einen Eintrag in der Registry. Der Name eines BO-Servers ist allerdings frei wählbar. Deshalb sollte man sich unbekannte Programme, die im Registry-Key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\ eingetragen sind, näher ansehen (Suche im Registrierungseditor 'regedit').

Gleiches gilt für verdächtige Netzverbindungen: das Windows-Kommandozeilen-Tool 'netstat -a' zeigt alle momentan aktiven Netzdienste. Ungewöhnlichen Ports sollte man nachspüren - der Normalzustand hängt allerdings stark von der lokalen Installation und Netzanbindung ab.

Verschiedene Firmen und Hackergruppen haben bereits BO-Scanner herausgebracht oder angekündigt. Dabei stellt sich aber die Frage nach der Zuverlässigkeit und der Sicherheit eben dieser Programme - ein solches Tool könnte einen eigenen Trojaner installieren, nachdem es den anderen entfernt hätte und der Anwender sich in Sicherheit wiegt. Es ist zu erwarten, daß die meisten Anbieter von Antiviren-Software in Kürze einen Erkennungsstring für den 'BO-Trojaner' in ihre Scanner aufnehmen, so daß dann keine zusätzlichen Programme mehr notwendig sein werden. (nl) (jo)