13.07.1999

KULT DER TOTEN KUH

Bildquelle: ORF ON | Sturm

Hacker werden Datenschützer

Nach all den Überraschungen rund um den Release von Back Orifice 2000 folgen noch weitere nach.

Die Produzenten des zu einem Verwaltungstool für NetzAdmininistratoren mutierten HackerWerkzeugs kündigten in der Nacht auf Dienstag zwei weitere Programme an.

Der "CDC System Monitor" soll den User darüber informieren, was die gerade laufenden Programme wirklich tun.

Der "CDC Protector" wiederum wird gegen Viren, Würmer und Trojanische Pferde schützen, beide sollen wie BO2K, unter einer sogenannten GNU-Lizenz für private User frei zugänglich sein.

Das heisst

Sobald ein SoftwareUnternehmen diese Softwares integriert, muss dafür bezahlt werden. Das Ausmass an Publizität - vor allem in den USA - rund um den Release dürften den zu erwartenden Preis dafür nicht gedrückt haben.

Was BO2K in einem fremden Netzwerk kann

Dateien und Verzeichnisse umbenennen, löschen, senden, empfangen

System rebooten

Passwörter im Cache auslesen

Tastatureingaben mitprotokollieren

Freigaben erstellen und entfernen

Prozesse starten und stoppen

Registry auslesen und verändern

angeschlossene Video-Geräte übernehmen

und vieles anderes mehr

Der im Paket enthaltenen BO2K Server ist weder ein Virus noch ein Wurm, sondern ein lupenreines Remote Control Program alias Trojanisches Pferd.

Das heisst, BO2K kann sich weder selbständig verbreiten noch hat er Schadensfunktionen eingebaut.

Ist die nur 140 K grosse Datei in einem fremden Netzwerk aktiviert, kann dieses von aussen ferngesteuert werden. Die Kommunikation erfolgt über den Standardport 80, mit dem weitaus die meisten Netzwerke mit dem Internet verbunden werden.

Wie sich BO2K versteckt

Man kann BO2K so konfigurieren, daß er bei jedem Neustart aktiv wird und seine Prozesse dabei im Verborgenen bleiben.

Dabei versucht er auch alle Spuren zu verwischen, indem er die Startdateien, mit denen er aktiviert wurde, zu löschen. Dies gelingt allerdings nicht immer.

Perfider ist da schon die Möglichkeit, dass besagte Startdatei unter beliebigem Namen im System-Verzeichnis versteckt werden kann.

Ziemlich schnelle Hilfe: AVP
Die Kaspersky Labs haben bereits einen Patch online. Begründer Eugen Kaspersky höchstpersönlich hat an dem Update gearbeitet.

Patch für Antiviral Toolkit Pro

Eine der ersten Firmen, die Back Orifice analysiert hat, war die österreichische Virenklinik Ikarus. Ihre Evaluation hat neben Hinweisen aus der Community massgeblich zur Berichterstattung der FutureZone beigetragen.

VirusPatch von Ikarus.

Auch schnell

BO-Update für McAfees Anti-Virus

Überhaupt die schnellsten waren nach eigenen Angaben die Virenforscher von

Norton - Symantec