Back Orifice
Raymond Hansen
Jeg vil bare komme med en liten advarsel til alle dere ircere som bruker
win95/98 Back Orifice er ikke spøk. Det kan jeg fortelle dere med
engang.
BO. blir først og fremst spredt via irc , og når man kjører fila (som
kan ha hvilkensomhelst filnavn) blir det så automatisk gitt en melding
via en bot i kanalen #bo_owned om at du har kjørt netopp denne fila. Du
er da praktisk talt solgt. Den som sitter med klient versjonen av dette
programmet har totalt herredømme over maskinen din. (og det sitter mange
i #bo_owned og bare venter på å kaste seg over
maskinen din)
Fila kan i fleste fall identifiseres på at den ikke har noe ikon, om den
ikke er komprimert (zippa) da.
Og skulle du være så uheldig eller teit å kjøre denne fila, så finnes
det programmer som undersøker om du har blitt infisert. Bare søk litt
rundt etter Back Orifice med altavista så finner du kjapt et slikt
program. Men sjekk om siten du downloader programmet fra er sånn
noenlunde seriøs, ellers kan du ende opp med enda en kopi av BO.
Rh-
Tommy Leonhardsen
> Jeg vil bare komme med en liten advarsel til alle dere ircere som bruker
> win95/98 Back Orifice er ikke spøk. Det kan jeg fortelle dere med
> engang.
> BO. blir først og fremst spredt via irc , og når man kjører fila (som
> kan ha hvilkensomhelst filnavn) blir det så automatisk gitt en melding
> via en bot i kanalen #bo_owned om at du har kjørt netopp denne fila.
Så, altså. Du må først være dum nok til å motta en fil i DCC fra noen på
IRC.
Så må du kjøre den selv.
I tillegg må du være uten firewall.
Og på toppen av alt dum nok til å kjøre W95.
> Du er da praktisk talt solgt. Den som sitter med klient versjonen av dette
> programmet har totalt herredømme over maskinen din. (og det sitter mange
> i #bo_owned og bare venter på å kaste seg over
> maskinen din)
Jeg anser meg ikke som solgt.
Men takk for advarselen, i fall mitt IQ nivå skulle falle drastisk i
fylla, ellerno.
--
Tommy Leonhardsen * to...@nt.fylkesbibl.no * www.nt.fylkesbibl.no
aka: to...@inni.no * home.inni.no/tommy
Magnus Lundberg
> Hei.
>
> Jeg vil bare komme med en liten advarsel til alle dere ircere som bruker
> win95/98 Back Orifice er ikke spøk. Det kan jeg fortelle dere med
> engang.
> BO. blir først og fremst spredt via irc , og når man kjører fila (som
> kan ha hvilkensomhelst filnavn) blir det så automatisk gitt en melding
> via en bot i kanalen #bo_owned om at du har kjørt netopp denne fila. Du
> er da praktisk talt solgt. Den som sitter med klient versjonen av dette
> programmet har totalt herredømme over maskinen din. (og det sitter mange
> i #bo_owned og bare venter på å kaste seg over
> maskinen din)
> Fila kan i fleste fall identifiseres på at den ikke har noe ikon, om den
> ikke er komprimert (zippa) da.
> Og skulle du være så uheldig eller teit å kjøre denne fila, så finnes
> det programmer som undersøker om du har blitt infisert. Bare søk litt
> rundt etter Back Orifice med altavista så finner du kjapt et slikt
> program. Men sjekk om siten du downloader programmet fra er sånn
> noenlunde seriøs, ellers kan du ende opp med enda en kopi av BO.
Jepp, bo er en skummel sak.
Det går også ann å binde boserve.exe til en annen fil, slik at den får
et ikon.
Ellers så er det morro å sende bo til venner og kjente, og så rote litt
med dialog-kommandoen og sånt da. :)
Les mer om det på www.cultdeadcow.com (tror kanskje det ligger en fix
der også)
mvh
MAgnus Lundberg -- det er med _liten_ a
[tempo] @ IRC
Inge Flřan
>
> Les mer om det på www.cultdeadcow.com (tror kanskje det ligger en fix
> der også)
Info og hjelp til ofre finnes her:
http://www.rootshell.com/archive-j457nxiqi3gq59dv/199808/boinfo.txt.html
Jeg ville ikke ha lastet ned noen "fix" fra www.cultdeadcow.com.
--
Inge
Vegard Svanberg
| Og på toppen av alt dum nok til å kjøre W95.
Og ved å ta en kikk på headeren din.. :
| X-Mailer: Mozilla 4.04 [en] (Win95; I)
. kommer man frem til at kanskje ikke du heller er så intelligent?
Magnus Lundberg
>
> Info og hjelp til ofre finnes her:
> http://www.rootshell.com/archive-j457nxiqi3gq59dv/199808/boinfo.txt.html
>
> Jeg ville ikke ha lastet ned noen "fix" fra www.cultdeadcow.com.
De gikk jo ut og fortalte om at de hadde laga det da.
Dette programmet viser virkelig hvor elendig wintendo er. :)
Inge Flřan
> Inge Fløan wrote:
> >
> > Info og hjelp til ofre finnes her:
> > http://www.rootshell.com/archive-j457nxiqi3gq59dv/199808/boinfo.txt.html
> >
> > Jeg ville ikke ha lastet ned noen "fix" fra www.cultdeadcow.com.
>
> De gikk jo ut og fortalte om at de hadde laga det da.
Ja, og så? Dersom du kjører en "fix" fra dem, hvor sikker er du da på at
den binærfilen ikke også inneholder programelementer som lager andre
bakdører? Hvordan det skal fikses er beskrevet på rootshell. Å kjøre en
"fix" fra cdc ville være relativt hjernedødt imo.
> Dette programmet viser virkelig hvor elendig wintendo er. :)
Ja, selvfølgelig.
--
Inge Fløan
Tommy Leonhardsen
Jeg trøster meg med at jeg i det minste er bak firewall.
Men ellers så kan jeg jo si at fylla har skylda? :-)
Tror jeg drepte mange hjerneceller forrige helg.
Når jeg kommer meg igjen, så skal jeg jobbe enda hardere for Linux På
Desktopen! her på kontoret :)
/me er utrolig dum, som kjører windass.
Magnus Lundberg
>
> Når jeg kommer meg igjen, så skal jeg jobbe enda hardere for Linux På
> Desktopen! her på kontoret :)
Bra.
> /me er utrolig dum, som kjører windass.
Kanskje ikke utrolig dum, men heller.. .. tja. Nei, la oss si at du er
utrolig dum. :)
Vegard Svanberg
| Jeg trøster meg med at jeg i det minste er bak firewall.
Der satte du meg på noe. Noen som vet hvilke porter Back Orifice opererer
på?
Burde vel ikke være noe problem for Windows-folket å endre en key i
registeret slik at de fikk blokket for de portene?
(Evt. kjøre f.eks. Conseals PC Firewall (obs, må være nyere enn juni '98)
og blokke de portene det gjelder).
Inge Flřan
(Vegard Svanberg) wrote:
> Der satte du meg på noe. Noen som vet hvilke porter Back Orifice opererer
> på?
Sakset fra
http://www.rootshell.com/archive-j457nxiqi3gq59dv/199808/boinfo.txt.html
---
* The server will begin listening on UDP port 31337, or a UDP port
specified by the installer.
---
--
Inge Fløan
Christian Tellefsen
>
> On Wed, 02 Sep 1998 11:53:14 +0200, Tommy Leonhardsen <tom...@inni.no> wrote:
>
> | Jeg trøster meg med at jeg i det minste er bak firewall.
>
> på?
>
> registeret slik at de fikk blokket for de portene?
>
> (Evt. kjøre f.eks. Conseals PC Firewall (obs, må være nyere enn juni '98)
> og blokke de portene det gjelder).
1. Få tak i viruset
2. finn en portscanner
3. koble av internett
4. start hesten (trojanske...)
5. start portscan
6. kill viruset (taskman i NT, ctrl+alt+del i 95/98)
7. post på no.irc
--
mvh
Christian Tellefsen
**************************
* a.k.a SaDDlark @ EFnet *************
* home.sol.no/~elisatel/christian/ ********
* Use www.pgpi.org and join www.cauce.org *
*******************************************
* "Hva er en .sig?" *
*********************
Christian Tellefsen
>
> On Wed, 02 Sep 1998 11:53:14 +0200, Tommy Leonhardsen <tom...@inni.no> wrote:
>
> | Jeg trøster meg med at jeg i det minste er bak firewall.
>
> Der satte du meg på noe. Noen som vet hvilke porter Back Orifice opererer
> på?
>
> Burde vel ikke være noe problem for Windows-folket å endre en key i
> registeret slik at de fikk blokket for de portene?
>
> (Evt. kjøre f.eks. Conseals PC Firewall (obs, må være nyere enn juni '98)
> og blokke de portene det gjelder).
1. Få tak i viruset
2. finn en portscanner
3. koble av internett
4. start hesten (trojanske...)
5. start portscan
6. kill viruset (taskman i NT, ctrl+alt+del i 95/98)
7. post på no.irc
--
mvh
Christian Tellefsen
**************************
* a.k.a SaDX-Mozilla-Status: 0009*****
BoyWithNoFame
Paa http://www.dynamsol.com/puppet finnes det er program som heter Cleaner
som rensker PC'en din (windoze) for de fleste trojans som er ute aa gaar
paa IRC. I tilleg finnes ogsaa Nuka Nabber (program som besykter deg mot
visse port angrep o.l.) og alle (tror jeg) patchene du trenger aa kjoere
for aa patche windoze boxen din mot DoS (nukes) angrepp paa din maskin.
Unknown
Cleaner v1.3 rensker ikke opp for _alle_ versjoner av BO..jeg var
'heldig' nok til å få erfare dette for meg selv. Det sagt, Puppet har
endel glimrende programmer, som alle er freeware, og både Nukenabber
og Cleaner gjør gode jobber..bare ikke tro at du nødvendigvis er 'ren'
selv om du kjører det (eller liknende) opprenskingsprogrammer.
Bonzi
Rolv Sverre Frřise
avansert, og fila du mottar heiter som oftest patch.exe men kan bli renamed.
Denne er enkel å fjerne ved å logge seg inn med NetBus på den maskina. Den
har oxo muligheit til å scane ip-serier, noe som gjer den enda farlegere. Nå
er det ikkje trygt å ta i mot exe filer lenger folkens!
Rolv Sverre
Inge Flřan
<rolv....@lom.online.no> wrote:
> Det er kommet ein "oppfølger" til bo. NetBus. Det skal vist vere enda meire
> avansert, og fila du mottar heiter som oftest patch.exe men kan bli renamed.
Jeg har hørt at BO er mer "avansert" enn NetBus, men jeg har kun prøvd
NetBus, så kan ikke uttale meg om hvordan BO fungerer. Men det virker
som om NetBus er litt mer "harmløst" i utgangspunktet, da en skal kunne
sette et passord på servermaskina. Dette passordet ga likevel ingen
beskyttelse da jeg prøvde det.
For å fjerne NetBus fra systemet, kan en fjerne følgende nøkler fra
registeret: HKEY_CURRENT_USER\NetBus og HKEY_CURRENT_USER\SysEdit
> Denne er enkel å fjerne ved å logge seg inn med NetBus på den maskina. Den
> har oxo muligheit til å scane ip-serier, noe som gjer den enda farlegere. Nå
Hva du mener med scanne IP-serier vet jeg ikke, men det er da ikke
vanskelig å scanne hele segment av IP-adresser når det gjelder BO heller
En rask sjekk viser at noen har forsøkt å koble seg til på standard
BO-port her idag mens jeg var borte. Dette skjer i gjennomsnitt omlag 3
ganger pr. dag. I tillegg til en drøss som prøver å finne en eller annen
WinGate ....<sukk>
--
Inge Fløan
- Black holes are where God divided by zero.
ann-britt svane
Rolv Sverre Frøise skrev i meldingen <6vd7bu$t51$1...@readme.online.no>...
>Det er kommet ein "oppfølger" til bo. NetBus. Det skal vist vere enda meire
>avansert, og fila du mottar heiter som oftest patch.exe men kan bli
renamed.
>har oxo muligheit til å scane ip-serier, noe som gjer den enda farlegere.
Nå
>
>Rolv Sverre
>
>
>
ehh...jeg tror du har misforstått litt....NetBus ble lagd FØR OB... av en
finsk/svensk student som ville ha det litt moro med de andre maskinene på
skolen sin.....men NetBus er litt for lett å oppdage.....Jeg brukte det i
vår da det ikke var noen som visste om det....da var det morsomt, men nå vet
jo alle om det så nå er det ikke morsomt lenger :(...nå er det bar eå vente
på noe nytt :)
Audun Utengen
ann-britt svane wrote in message <72q7vo$q6t$1...@readme.online.no>...