Note En-Ligne n° 12 de RTFM

Back Orifice

Les utilisateurs de IRC parlent beaucoup ces temps-ci de "Back Orifice".

Ce programme est un "troyen" qui une foi exécuté sur votre machine sous Windows 95 et Windows 98 (pas NT) permet à une autre machine d'effectuer un certains nombre d'action de prise ce contrôle à distance de votre PC , ce via le réseau en tcp/ip, typiquement Internet.

Les actions sont :

Prise de contrôle à distance de votre Windows
Lecture de tout ce que vous tapez au clavier
Capture de l'image affiché à l'écran
Téléchargement de fichier de et vers votre PC
Renvoie d'information vers un site Internet distant

Microsoft semble reconnaître cette possibilité, voir l'article a ce sujet (uk)

http://www.microsoft.com/security/bulletins/ms98-010.htm

Ce troyen se transmet sous plusieurs formes. Les plus connues sont l'incorporation dans une procédure d'installation d'un autre programme et pour les utilisateurs de IRC le transfer par dcc automatique.
Donc méfiance à l'exécution de programmes dont la source n'est pas garantie (comme d'habitude).

Comment savoir si l'ennemis est dans la place ?

Avec le programme "BoDetect".
http://www.spiritone.com/~cbenson/current_projects/backorifice/backorifice.htm

Avec le programme "antigen".
http://www.arez.com/fs/antigen/

à la main

Le programme serveur (le troyen BO = back orifice) démarre automatiquement avec Windows et attend les commandes du programme client détenu par un éventuel intrus.

- BO offre ses service par défaut sur le port UDP 31337.

- L'exécutable est généralement l'atribut caché et se nomme "c:\windows\system\.exe" (oui c'est bien .exe, sans nom).

- Il démarre grâce à la clef de la base de registres
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices.

Le site "Finding Your Back Orifice" explique comment faire en vous montrant les copies des écrans :
http://www.nwi.net/~pchelp/bo/findingBO.htm

Comment s'en débarrasser ?

1) Avec une version récente de l'anti virus McAfee's

2) - Lancer "regedit" (bouton démarrer / exécuter / regedit ) et rechercher "RunServices"
- à la clef "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices"
recherchez ".exe" et supprimer cette clef.
- Tentez d'effacer ".exe" ,mais s'il fonctionne c'est impossible .. donc redémarrer l'ordinateur au préalable.

Comment s'en protéger

Il existe un programme "NoBo" qui empêche le fonctionnement de ce type troyen et simule son exécution afin de surprendre la personne voulant prendre la contrôle de votre machine.
http://web.cip.com.br/nobo/index_en.html

Complétez la sécurité avec "le bouffe-troyen" qui repère et neutralise certains troyens. Voir le site en français :
http://people.nirvanet.net/a/aiki/public_html/nohackf.html

En savoir plus

Description du protocole de BO :
http://web.cip.com.br/flaviovs/boproto.html

Tout savoir :
http://www.nwi.net/~pchelp/bo/bo.html

La page officiel de "Back Orifice" :
http://www.cultdeadcow.com/

Revoir la liste des notes

Web : WebMaster
Mailing-List : communiquez avec les amis de rtfm

Dernière modification de cette page : le 8 novembre 1998