BO

Nakon jednog (zabavnog) prijepodneva uz Back Orifice dobio sam sve odgovore na svoja prethodna pitanja. Odlucio sam sve to napisati na jedno mjesto za ostale koji ce sigurno traziti pomoc uskoro.

Dakle, Black Orifice (od sada BO) sluzi kao client/server program kojim se remotely moze "popravljati" neciji kompjuter. S time da je jedna osoba ona koja ima kontrolu (client), a drugi (server) "dobrovoljno" ustupa kontrolu nad sobom clientu koji je "dobronamjeran". U svrhu toga klijent ce buducem serveru poslati mali program od kojih 122kb (varijabilno) koji ce postaviti odredjeni port (koji nece biti znan svima) i odredjeni password potreban da bi prijenos podataka
funkcionirao (posto se ovdje koristi enkriptirani UDP protokol) . Preko tog jedinstvenog porta na kojem server slusa a client odasilje i passworda (enkripcije UDP paketa) njih ce dvojica moci komunicirati na dobrobit i clienta (novcana) i servera (usluga). <=== tako je barem u osnovi bilo zamisljeno.

UDP ili User Datagram Protokol za razliku od TransferControlProtocol/InternetProtocol-a ne garantira da ce sadrzina (podaci) biti dostavljena (nema acknowledgementa, nema windows size-a ni fragmentacije) vec radi tako da se salju paketi odredjene velicine koji ce u egzaktno tom istom obliku biti primljeni bez provjere...taj je protokol glup ali je potreban radi brzine...dakako da ce se za FTP (gdje je bitno da vece kolicine podataka
stignu neostecene) biti nuzan TCP/IP (fragmentiranje u manje pakete,
odredjeni maksimalni broj bajtova koje dest. moze primiti u samo jednom
paketu, SYN/ACK flagovi, checksumi...provjere i potvrde da su podaci stigli i ako nisu upuceni na tu adresu da se route-aju dalje ili da se posiljaocu vrati poruka unreachable (pa jos i spoofed ipi IP headeru)) ali za neke druge stvari (ICQ, BO) UDP je dovoljan (nuzna je brzina). Na "zalost" UDP se vrlo lagano moze exploitirati. Ups sorry, malo sam previse zabrijao...idemo dalje.. :)

Ukoliko se izricito ne podesi port i password preko kojeg ce se komunicirati
oni ostaju default (default port je 31337) sto znaci da ostaju pocetno
odredjeni od strane samog programa. Ukoliko bi vise ljudi pokrenulo klijent program
koji nije konfiguriran za posebni port/password, po defaultu njihovom bi
kompjuteru mogao pristupati svatko tko zna koji su default parametri - a
tko to ne bi znao?

Ostalo znate, primili ste neki file od prijatelja kojeg ste zatim startali (velicine oko 122kb i bez ikone), on se izbrisao i nestao, ne postoji vise ni u autoexec.bat-u ni config.* ni u listi rezidentnih programa niti igdje drugdje...zaboravili ste na njega...
Velika je sansa da vise ni od cega niste sigurni. Program je dizajniran tako
da firewallovi pomazu protiv njega UKOLIKO je port na kojem se komunikacija
treba odvijati ZATVOREN, citiram: "If packets are being filtered or a
firewall is in place, it may be necessary to send from a specific port that
will not be filtered or blocked."
Logicno, to znaci da ako konfigurirate port blocker ili firewall da blokira
port 31337... VECINU hrvatske elite cete sprijeciti da vas zezaju.... :P
Ukoliko netko pametan promijeni password/port i sam filesize ce biti drugaciji, tj. ne mora uvijek biti 122k.

Kada pokrenete klijent program, on postavi 2 file-a u C:\windows\system a to
su windll.dll i .exe (od 122kb) <== da .exe zaista nema imena tj. ima a to
je: " .exe" (space dot exe). Zatim u registry upise svoje samo-startanje pri
svakom pokretanju windowsa . Citiram: "Once the server is installed on a
machine, it will be started every time the machine boots". Odete u run s
windows izbornika i upisite REGEDIT, zatim u izborniku novootvorenog
regedita nadjite find i upisite RUNSERVICE...potrazite unos koji pise:
default=".exe" ili nesto slicno tome i izbrisite ga. Sada ste sprijecili
njegovo samostartanje.

Bas mi je pao na pamet mail flood s klijentom i jakooo dugim filename-om
(samoizvrsavanje)... :P
Patch za Outlook Express u smislu ove greske moze se naci na Microsoftovim web-stranicama, a najlakse je do njega doci preko Windows Update-a u Win98 OS-u.

Sto se moze s tim programom, zasto je nastala takva frka?
Ukoliko bas zelite na nekome isprobati BO morat cete naci njegov IP i
upisati ga gore desno u BOgui.exe (Graphical User Interface) i krenuti na
posao. Interesantni su trikovi sljedeci: prvo pogledate sve passworde (ne
zaboravite snimiti log), zatim posaljete poruku preko sistemskog molioca;
title prozor popunite s: "Vas kompjuter je pod kontrolom Lamerske Lige Elite
(LLE)" a text prozor s: "ustrijelite se da si skratite muke"
Zatim mozete izlistati postojece aktivne programe, s popisa aktivnih
programa (process list) s desne strane imate njihove oznake (brojeve) sad imate komandu KILL process i u prvi prozor upisete oznaku programa (koju ste procitali s prije spomenute liste) kojeg zelite ubiti (mirc, pirch, icq), a prije toga
posaljete poruku "ne volim pirch, ugasit cu ga"...zatim napravite folder
(foldername == $me hihi) u C:\windows\desktop (da bi se pojavio na desktopu)
i unutra snimite sliku desktopa u .bmp formatu (MMscreen capture ili tako
nekako se zove opcija)..zatim si tu sliku posaljite na svoj ip:port (tcp
recieve) *opaska = vas port mora biti open and listening za tu vrstu usluge da bi to proradilo* i pogledajte sto zrtva radi...
Zatim mozete s file find potraziti neki *.wav na target kompjuteru (prvi
prozor *.wav a drugi c:\) i zatim ga odsvirati korisniku s druge strane
(MMplay, u prvi prozor full path ..\zvuka.wav). Mozete mu i u pozadini
startati bilo koji program s bilo kojom svrhom...associationsi tu rade
dobro...Za kraj je red da mu shutdown-irate kompjuter...ETO TO se moze (i
jos puno vise toga) s tim programom.

Koliko vidim u zadnje vrijeme ljudi se trude napraviti neki lagani program cijim bi se startanjem nasao BOserver i neutralizirao. Za sada nailaze na probleme tipa varijabilnosti velicine samog file-a, razlicitih unosa u sami registry i jos nekih "sitnih" problema...ipak je najbolja zastita ne primati nista velicine od oko 122k i s ekstenzijom .exe, ako nesto takvoga i primite ne startajte ako nema ikone...ako se ipak zeznete najlakse je jednostavno iz c:\windows\system izbrisati windll.dll i file " .exe" bez ikone te velicine od oko 122kile...cak ni ne trebate kopati po registriju ako ne znate kako...no najbolje je i tamo pogledati kako se odvijaju stvari. Kao sto sam vec objasnio, imate windows program REGEDIT, do njega najlakse dodjete tako da odete u glavni START windows izbornik i s njega odaberete RUN i prozor upisete REGEDIT. Time ste startali REGEDIT, s njegovog izbornika nadjite FIND i potrazite unos RUNSERVICE (proces zna trajati, imajte strpljenja), s lijeve ce se strane ispisati sadrzina te parcele, jedna linija ce glasiti *default=".exe"* ili nesto vrlo slicno tome (dakle sumnjivo). Selektirate tu liniju i delete da bi postala: *default="not_defined"*.

U medjuvremenu pojavio se na http://www.warforge.com jedan program koji sam pronadje i ukloni BO server s vaseg kompjutera...program provjereno radi, a zove se WIngen.

Eto nadam se da nisam pretjerao :)

Hvala ostalima na pomoci i idejama :)

Elito, zajebavajte nekog drugog, lamere mi pustite na miru!!! :P