Back Orifice

Back Orifice

Back Orifice est un logiciel client/serveur d'administration et de prise de contrôle à distance de machines utilisant le système d'exploitation Windows ; il ne s'agit pas vraiment d'un virus, mais plutôt d'un rootkit.

Il est créé et distribué par un groupe de hackers, Cult of the Dead Cow (cDc), en août 1998[1]. L'auteur principal de Back Orifice est « Sir Dystic »[2] ; et celui de BO2K est « DilDog »[3]. Le code source est open-source (GNU GPL) et disponible sur sourceforge.

Sommaire

Origine et Cible

Son nom est inspiré par le logiciel Back Office de la société Microsoft ainsi que par le plaisir d'un jeu de mots quelque peu grivois.

Le logiciel s'attache aux machines utilisant un système d'exploitation Windows 95/98, et NT pour BO2K[3]. Le client peut s'exécuter sous Windows 95/98/NT et Unix (console uniquement)[4]. Le programme est autonome : il n'a pas besoin qu'on installe des outils annexes.

Finalité

L'auteur (Sir Dystic) précise que « les deux buts légitimes de BO sont la télémaintenance et la maintenance/surveillance [des réseaux Microsoft] »[2].

Pour BO2K, l'auteur regrette que l'accès à distance, chose très courante dans les systèmes de type Unix par le ssh, ne soit pas disponible sous Windows ; c'est pourquoi ils ont « amélioré les possibilités d'administration » de ces systèmes. Il « espère que Microsoft fera de son mieux pour s'assurer que son système d'exploitation est suffisamment bien conçu pour savoir gérer les améliorations apportées »[3].

Le communiqué de presse précise que BO2K « pourrait faire pression sur le léviathan [NdT: Microsoft] pour qu'il mette en place un modèle de sécurité dans son système d'exploitation » et qu'« en cas d'échec, leurs clients seront vulnérables aux crackers »[3].

La finalité originale de ce logiciel est douteuse, ses auteurs affirmant que son utilisation a été détournée sous forme de cheval de Troie. Toutefois, son comportement furtif et ses fonctionnalités spéciales (comme la récupération de mots de passe à distance, ou le keylogger intégré) laissent planer le doute sur les motivations réelles des auteurs. Il a ainsi souvent été classé comme virus ou ver et sa signature est fréquemment reconnue comme dangereuse par les logiciels antivirus.

En tout cas, il est clair qu'il s'agit d'une attaque contre Microsoft qui utilise l'absence de politique de sécurité[4].

Fonctionnement

La chaîne caractéristique de Back Orifice est *!*QWTY?. Il utilise le port 31337. On attribue ce choix au fait qu'en Leet speak, 31337 se lit ELEET (« élite »). Ce port est modifiable[4].

Le client, utilisé par l'attaquant, est configurable, modulaire et même skinnable. Il comprend un système de Marque-page et un logger. Il peut se connecter sur plusieurs serveurs à la fois[5].

Le serveur comprend un accès à un shell par telnet, un keylogger, un éditeur de registre, un serveur http, des outils pour transférer, supprimer et installer des fichiers/programmes à distance, un accès au système de partage des réseaux Microsoft, un cracker de mot de passe (NT/95/98) et de quoi redémarrer la machine. Il supporte les redirections TCP, la résolution DNS et un contrôle des processus (démarrage, arrêt, listage)[5]. Il est aussi capable de détourner des messages système. L'accès à tout cela se fait en partie par une dll de 8ko incluse dans l'exécutable[4].

Des plug-ins de cryptage 3DES et à la volée, de contrôle graphique (bureau avec clavier/souris, éditeur de registre), de support de l'UDP et de l'ICMP sont également disponibles[5].

L'utilitaire « NOBO » permet de détecter le trafic réseau généré par Back Orifice. Pour supprimer BO, il suffit de supprimer l'excécutable serveur ainsi que la clé de base de registre associée, puis de redémarrer[4].

Utilisation

L'installation se fait par une simple exécution du programme BOSERVE.EXE (122ko) : celui va se renommer en .EXE (le nom du fichier est un espace) et ajouter le chemin de ce programme à la clé de base de registre HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices. Le serveur s'exécutera ainsi silencieusement à chaque démarrage de la machine ; de plus, il n'est pas visible dans la liste des processus exécutés[4].

Le client graphique est lancé par BOGUI.EXE et le client console par BOCLIENT.EXE.

Commandes de base

  • System Info : liste les informations système : processeur, RAM, disques durs et partitions...
  • File view : affiche le contenu d'un fichier ;
  • HTTP Enable : lance le serveur http intégré ;
  • Process list : liste les processus en cours d'exécution ;
  • Reg list values : pour voir des clés de base de registre ;
  • System dialogbox : affiche sur le serveur un message personnalisé ;
  • System Passwords : pour voir tous les mots de passe stockés sur la machine en clair.

BO2K

Un an après BO[3], « BO2K », pour « Back Orifice 2000 », est une évolution de BO apportant quelques améliorations et notamment le support de Windows NT. Le 2000 est aussi une référence aux produits de Microsoft (Windows 2000 et Office 2000).

Notes et références

  1. (en) Whatis BO2K sur bo2k.com. Consulté le 19 avril 2010
  2. a et b (en) cDc, The Deth Vegetable, « Running a Microsoft operating system on a network? Our condolences. » sur cultdeadcow.com, 21 juillet 1998. Consulté le 19 avril 2010
  3. a, b, c, d et e (en) cDc, The Deth Vegetable, « BO2K Pressrelease » sur bo2k.com, 10 juillet 1999. Consulté le 19 avril 2010
  4. a, b, c, d, e et f Jean-Claude Bellamy, « Tout ce que vous avez voulu savoir sur Back Orifice », 1998. Consulté le 19 avril 2010
  5. a, b et c (en) Feature list sur bo2k.com. Consulté le 19 avril 2010

Voir aussi

Articles connexes

Liens externes


Wikimedia Foundation. 2010.

Contenu soumis à la licence CC-BY-SA. Source : Article Back Orifice de Wikipédia en français (auteurs)

Игры ⚽ Нужна курсовая?

Regardez d'autres dictionnaires:

  • Back Orifice — Saltar a navegación, búsqueda Back Orifice Desarrollador Sir Dystic (cDc) Web oficial Información general …   Wikipedia Español

  • Back Orifice — Тип RAT, вредоносное программное обеспечение Разработчик CULT OF THE DEAD COW Написана на C++ Операционная система Windows 9x Языки интерфейса Английский …   Википедия

  • Back Orifice — Entwickler Sir Dystic (cDc) Aktuelle Version 1.20 (3. August 1998) Betriebssystem Microsoft Windows Kategorie Fernwartung Lizenz …   Deutsch Wikipedia

  • Back orifice — Cet article fait partie de la série Programmes malveillants Virus Cabir MyDoom.A Tchernobyl …   Wikipédia en Français

  • Back Orifice — es un programa para la administración de sistemas de forma remota. Permite al usuario controlar un ordenador que use el sistema operativo Windows desde una localización remota. El nombre es un juego de palabras de Microsoft s BackOffice Server …   Enciclopedia Universal

  • Back Orifice — Infobox Software name = Back Orifice caption = screenshot of the Back Orifice client developer = Sir Dystic (cDc) operating system = Microsoft Windows, UNIX systems (client only) latest release version = 1.20 latest release date = August 3, 1998… …   Wikipedia

  • Back Orifice 2000 — Infobox Software name = Back Orifice 2000 caption = Screenshot of BO2k client developer = Dildog (cDc) (original code) BO2k Development Team (current maintenance) operating system = Microsoft Windows, Linux systems (client only) latest release… …   Wikipedia

  • Back Orifice — троянец В качестве названия использовано искаженное название Microsoft Back Office . Будучи однажды инсталлирован, позволяет обеспечить несанкционированный доступ к ресурсам удаленного компьютера. ВО изначально был разработан для использования в… …   Hacker's dictionary

  • Back Orifice — ● ►en np. m. ►SECU Sorte de cheval de Troie ayant beaucoup fait parler de lui lors de sa sortie. C est en fait un client classique de prise de contrôle à distance qui ne dit pas son nom …   Dictionnaire d'informatique francophone

  • Back Office (Logiciel) — Pour les articles homonymes, voir Back office. Back office était un logiciel de la société Microsoft. La dernière version date du 28 février 2001 (sous le nom de BackOffice Server 2000). Dans les versions plus récentes de Windows, il semble avoir …   Wikipédia en Français

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”