Back Orifice
トップ ページMain Contents便利なツールMember登録ページの紹介

webreiko.com

インターネット恐怖の体験
女性の為のWebセキュリティ
初心者の為のWebセキュリティ
学校へ行こう
ダンナの秘密
ケイタイサーチ

 

Back Orifice

こんにちは、まぐろです。高島さんから連絡がありまして、Bo を仕掛けられた方が実際におられ、その駆除方法に ついて教えてほしいとの事でした。第四回目は急遽予定を変更して、Bo とその駆除方法です。

Back Orifice は、Cult of the Dead Cow というグループが開発した、Windows95/98 をリモート操作/盗聴して しまうソフトです。通常は、この講座の第二回で書きましたように、エッチな写真やメールなどに添付されて悪意の ある人達から送られてきます。オリジナルなままでの”Bo Client.exe”は、ウイルスバスターの新しいパターンで 検出出来ますが、少し手を加えたり、インストールシールドなどに仕掛けられるとウイルスバスターやノートンでも 検出できません。”私の写真を送ります”とか、われずから引っ張っている人、安い金円盤を買っている人は注意 してください。特に、CD-Rom は、オートランをかけられると、何もしないのに静かにインストールされてしまいます。 事実、これからみなさんにお見せする、”Boserver”は、ウイルスバスターにもかかりませんし、メール添付で送っても (もちろん自分宛ですよ)、それをディスクトップに保存しても、ウイルスバスター(最新のパターン)はうんとも すんとも言いませんでした。

Back Orifice フルセットは、”Bo.txt””Plugin.txt””Boclient.exe””Boconfig.exe””Freeze.exe” ”Melt.exe””Bogui.exe”そして、”Boserver.exe”から構成されています。悪意のある人は、この”Boserver.exe”を 第三者(ターゲット)に送り、巧みなソーシャルエンジニアリングでダブルクリックさせます。

そして、自分では”Bogui.exe”を立ち上げて、ターゲットのIPを打ち込んで、そのコンピューターをリモートコントロール します。それでは、そのプロセスと、仕掛けられた場合の駆除の方法を順番にご説明します。

まず、上記の”Boserver.exe”をダブルクリックすると、

静かにインストールされ、その後は自分で消滅します。

消滅したわけでは無く、Bo はさらに悪意を増幅させ、あなたのパソコンの、 C:\WINDOWS\SYSTEM にいます。何と、アイコンは透明で、ファイル名はありません。

高島さんの第一回目の講義にもありましたように、パソコンを買って、そのままデフォルトで使っている人は、

”登録されているファイルの拡張子は表示しない”になっており、.exe の拡張子が表示されませんので、

全く何も表示されていません。これでは仕掛けられているかどうかわかりませんね。ちなみに、もうこの状態では ウイルスバスターでは検出できません。

あなたのパソコンの中で Bo が悪意を持ってご主人様の呼び出しを待っています。その悪意を持ったご主人様は、先ほどの ”Bogui.exe”を立ち上げて、

あなたの IP アドレスを打ち込んで Ping を Send して、かわいい .exe を呼び出します、、、、。

ちょっと!!こわいじゃないの!!と、高島さんに言われそうなので、、、、文体を変えましょう。ちなみに、 ”Bogui.exe”は、上記の画面の左上に、つるっぱげの怖い顔した外人が子牛を絞め殺している画像が出ています。 (この方がこわい)そして、画面のバックが時々変化します。

さて、”Bogui.exe”の説明はこれぐらいにして、どうやって駆除しましょうか。

怖い顔した外人さんは、.exe をドラッグ/ドロップでゴミ箱に移動したり、ファイル→削除 位では駆除させて くれません。

ここで、前回の講義の内容を思い出してください。そう、レジストリです。レジストリは Windows の万能の神で あると同時に、最大のセキュリティホールでもあります。

Bo が悪さをしているレジストリは、

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

です。

ちなみに、Bo を仕掛けられていないときには、このキーの”標準”の値は””になっています。

でも、Bo を仕掛けられていると、、、

”標準”キーの値が、”.exe”になっています。これは、Windows を起動するたびに、.exe も自動的に 起動される事を意味しています。普通のアプリケーションでも、起動中は削除しようとしても削除できませんね。 それと同じです。それでは、この値を変更しましょう。そう、前回はその上の階層の CurrentVersion の RegisteredOwner を変更しましたね。それと同じ手順です。

まず、”標準”をダブルクリック。そして”文字列の編集”の画面で、.exe を消しましょう。

さあ、先ほどの”標準”の値が””にかわりましたね。これだけではだめです。.exe は今ランニング状態です。 この時点で再起動します。

再起動したら、先ほどの C:\WINDOWS\SYSTEM の中の、.exe をクリックして、

ファイル→削除 で、.exe は 駆除できました。

でも、これだけではいけません。ゴミ箱です。

Bo が一つだけあるゴミ箱ってのも不気味ですね、、。削除しましょう。ファイル→ゴミ箱を空にする です。

Windows98 の人は、ちょうど水洗の水が流れるような音がして、

これで無事に駆除完了です。

あと、Chris Benson という人が、BoDetect というツールを作っています。

http://www.spiritone.com/~cbenson/index.htm

いかがでしたか、”なーんだ、駆除するのって簡単じゃん!”といって、なめてかかってはいけません。 本物のクラッカー達は、例外なく悪魔のプログラマーです。Bo2000(bo2k)もそろそろ出回って、仕掛けられる 頃です。又、この文章を書いている最中にも、新種のトロイが作られているのですから、、、。

 Copyright(c) 1999-2001 Reiko Takashima All rights reserved