...risorse a portata di mouse...

Tutti i programmi back-door per windows si basano sulla stessa idea: un cavallo di Troia da far installare involontariamente sul pc-vittima che opera come un server, pronto ad accettare il pirata che si collega con la giusta password per entrare in funzione.

Tra le finzioni che B.O. mette a disposizione dell'intruso ci sono: esecuzione di comandi, vedere, uploadare e downloadare file, condividere cartelle, manipolare il registro di configurazione, chiudere programmi, come se tutto fosse fatto in locale.

La Internet Security System X-Force sta mettendo a punto un software, il RealSecure 2.5, che rileverā e notificherā qualsiasi attivitā di B.O. sulla rete, indicando anche la porta usata sui pc infetti. Non č necessario, comunque, ricorrere ad un programma apposito per verificarne la presenza, basta sapere come si comporta quando si installa:

• si posiziona nella cartella di sistema (solitamente c:\windows\system) come file.exe, il cui nome č spesso dato dal pirata che ha preparato il B.O.;
• generalmente crea una chiave nel registro di configurazione con percorso
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\[il nome del file.exe], scrivendo pure una descrizione, di default o specificata dal pirata;
• inizia l'ascolto (listening) sulla porta UDP 31337 del pc vittima, o comunque su una porta User Datagram Protocol indicata dall'hacker.

RealSecure funziona collegandosi sulle porte UDP per ascoltare se passano bit che possono essere rivolti al server di B.O.

Per verificare se il ns. pc č stato infettato č sufficiente:

• avviare il programma REGEDIT (start/avvio>esegui>regedit>invio/ok o c:\windows\regedit.exe) e accedere alla chiave KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
• controllare qualsiasi file.exe qui con questo percorso, andando a verificare se occupa ca. 30Kbyte (potrebbe essere B.O.)

Un altro modo consiste nell'andare in prompt di Ms-Dos e, nella cartella Windows, usare il comando netstat -an, che mostra tutte le porte chiamate da parte di un qualche programma: C:\windows>netstat -an | find UDP. Se il risultato č UDP0.0.0.0:31337 *.* significa che qualcuno sta usando la porta 31337, dunque č consigliabile controllare il registro.

Altre informazioni su B.O. possono essere reperite alle url www.cultdeadcow.com e www.nwi.net/~pchelp/bo.html oltre ovviamente leggendo gli articoli presenti nel newsgroup it.comp.sicurezza-virus
Se trovaste B.O. sul vostro pc e voleste trovarne la configurazione, con un editor di testi aprite il file <server>.exe e andate a controllare le ultime righe.

Se l'ultima č "88$8(8,8084888<8@8d8h8l8p8t8x8\8'8d8h818", allora il server sta utilizzando la configurazione di default. In ogni caso, nelle linee appena sopra, in questo ordine sono riportate: 1) nome file 2) descrizione del servizio 3) numero della porta usata 4) password 5) informazioni su eventuali plug-in.

I plug-in disponibili al momento sono 4: Speakeasy (un plug-in che si collega segretamente ad un server predefinito e trasmette l'indirizzo della vittima; Silk Rope (che crea un collegamento tra B.O. e la maggior parte dei programmi esistenti; Saran Wrap (che fonde B.O. in un programma che fungerā da cavallo di Troia tramite un InstallShield); Butt Trumpett (che invia all'hacker un messaggio e-mail con l'indirizzo ip del pc "Troia").

Notate bene: su internet potreste trovare dei programmi spacciati per rivelatori o pulitori di B.O. ma che, come bosniffer.exe e bosniffer.zip, al contrario ve lo installano sui vostri pc; fate dunque attenzione quando prelevate software da siti non conosciuti.

-------

Se vuoi essere tempestivamente aggiornato di eventuali aggiornamenti di questo articolo,
di nuovi articoli che verranno inseriti nella sezione ''Tips&Tricks'' ed in generale di ogni
novità di Romanelmondo, puoi sottoscrivere la nostra newsletter cliccando QUI.