Les trojans Sommaire Liste de ports


Back Orifice 2000


Bon , apres avoir lu mon article sur les trojans , vous avez surement envie de passer a l'action . Avant tout , vous devez recuperer des trojans . Pour cela , pas de probleme , vous en trouverez plein sur le Web . Bon maintenant je vais vous parler du plus celebre des trojans : BO2K ou Back Orifice 2000 . Pour mieux le comprendre , je vous conseille de l'avoir a cote de vous en lisant cet article .

Bon , apres avoir lu mon article sur les trojans , vous avez surement envie de passer a l'action . Avant tout , vous devez recuperer des trojans . Pour cela , pas de probleme , vous en trouverez plein sur mon site , si vous en avez pas . Bon maintenant je vais vous parler du plus celebre des trojans : BO2K ou Back Orifice 2000 . Pour mieux le comprendre , je vous conseille de l'avoir a cote de vous en lisant cet article .


Un peu de blabla pour commencer :

Back Orifice 2000 , c'est la nouvelle version du trojan du meme nom , un outil d'acces a distance cree par Cult of the Dead Cow (CDC) en juillet 99 . La premiere version a ete compilee et diffusee aux USA. Quelques jours plus tard, on a vu apparaitre une version internationale de ce backdoor. D'autres versions devraient apparaitre avec le temps, creees avec differents compilateurs et avec des fonctions differentes. Comme dans les versions precedentes , BO2k a deux parties principales : client et serveur. Le serveur doit s'installer sur un ordinateur afin d'accorder l'acces au client. Le client se connecte au serveur par le reseau et peut proposer d'effectuer toute une variete d'actions sur le systeme distant. Grace a son interface intuitive et evoluee , hacker l'autre ordinateur devient un vrai jeu d'enfants. Dans le meme package CDC nous propose un utilitaire de configuration pour le serveur. Par defaut ce serveur ne lance pas lors de son execution , la version originale fournie par CDC n'est pas (encore) active. Pour etre utilise comme backdoor, il faudra proprement le configurer. L'utilitaire possede un assistant de configuration qui aide a rapidement configurer le serveur. Nous verrons les parametrages en detail plus loin . Cet utilitaire de configuration permet de regler le serveur d'une facon tres flexible. Quand la partie serveur est configuree pour agir comme un trojan , il se copiera dans \Windows\System\ ou \WinNT\System32\ sous un nom specifique pendant la phase de configuration. (par défaut UMGR32.EXE). Puis il modifie la base de registres.

Sous Windows 95/98 la ligne d'execution est :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

sous Windows NT :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Enfin le fichier a partir duquel le trojan a ete lance s'efface tout seul (si toutefois c'etait parametre pendant la phase de configuration). Ensuite a chaque demarrage du systeme , BO2k s'activera et donnera un acces au systeme infecte a tous les gentils hackers qui possedent le programme client et eventuellement le bon mot de passe .

Je sens que vous mouriez d'impatience de passer a l'action , ne vous affolez surtout , on y va .


1ere etape :


Configurer le serveur
Faites une copie du fichier "bo2k.exe" et placer le dans un repertoire de sauvegarde (cela vous permet de conserver une version du client non modifiee). Lancer l'outil "bo2kcfg.exe" , la fenetre s'affiche et selectionnez le fichier "bo2k.exe" contenu dans le repertoire de sauvegarde .

Installation des plugins dans le serveur
Pour le moment, il existe quelques plugins :
  • bo_peep.dll : Permet d'avoir acces en streaming (video temps reel) a l'ecran hote.
  • 3des.dll : Permet de crypter de facon securisee la communication entre l'ordinateur hote et l'ordinateur client (ce plugin est uniquement disponible dans la version americaine pour des raisons legales concernant la cryptographie).
  • D'autres plugins sont presents sur le site
Les Fonctions de Configuration Principales
  • FILETRANSFER : Ne vous en occupez pas
  • TCPIO , Default port :le port que vous allez utiliser pour vous connecter : C'est une valeur que vous choisissez et que vous devrez fournir au client pour que les deux puissent communiquer .
  • UDPIO : Ne vous en occupez pas
  • BUILT-IN : Ne vous en occupez pas
  • XOR , XOR key : C'est en gros le mot de passe qui vous permet de securiser l'echange entre les deux machines. Si vous ne le connaissez pas, vous ne pourrez pas vous connecter sur le serveur distant .
  • START-UP : Ne vous en occupez pas
  • STEALTH : Lorsque vous lancez le serveur (bo2k.exe par defaut), la connexion devient possible sur votre machine (pour qui connait la cle XOR). Il est possible de camoufler ce fichier bo2k.exe afin d'effacer toute trace du serveur sur la machine hote, cela passe par les options suivantes.
    run at startup : Lancement du serveur automatiquement au demarrage de Windows sur la machine distante
    delete original file : permet d'effacer le fichier bo2k.exe apres qu'il ait ete lance . Dans ce cas, le fichier est copie dans le répertoire c:\windows\system avec le nom specifie dans l'option "runtime pathname" avant d'etre efface.
    insidious mode : Elle permet de rendre difficile l'effacement du fichier serveur (impossible de selectionner le fichier, de l'effacer...).
    runtime pathname : specifie le nom du fichier qui sera copie dans le repertoire c:\windows\system apres effacement du fichier bo2k.exe original
    hide process : enleve l'affichage de processus serveur lorsque l'on appuie sur Ctrl+Alt+Supp... Ce qui empeche de tuer le serveur et surtout de savoir sous quel nom il se cache.
    Host process name (NT) et Service Name (NT) : Les options suivantes sont plutot utilisees pour Windows NT.
  • BOPEEP : (streaming video de l'ecran hote) : Laissez les options par defaut

2eme etape :


Testez le serveur que vous avez configure
Lorsque vous avez configure le client, vous pouvez le tester sur votre propre machine. Il vous suffit de le lancer : ATTENTION, je vous conseille vivement de desactiver le camouflage sur serveur afin de pouvoir le "tuer" par un Ctrl+Alt+Suppr : Il vous suffit d'utiliser le serveur livre par defaut avec Back Orifice (d'ou l'interet de la copie de sauvegarde) . Pour tester votre serveur, il suffit maintenant de lancer le client "bo2kgui.exe".

Il faut tout d'abord configurer le client (cette fois-ci) pour qu'il soit en phase avec le serveur que vous venez de configurer (Menu : Plugins / Configure). Les principales donnees a configurer sont : default port (mettre le meme que pour le serveur) et XOR key (meme chose). Si le serveur et le client ne sont pas en phase, vous ne pourrez pas vous connecter sur le serveur . Lorsque c'est fait : lancer "file/new server". Dans la fenetre connexion , donnez un nom au serveur sur lequel vous allez vous connecter (au choix) puis l'adresse IP de la machine hote (dans le cas de votre propre machine il suffit de taper : 127.0.0.1). Apres un petit laps de temps, le bouton connecter se transforme en deconnecter. Pour tester la communication, lancer la commande Ping .


Les Fonctions Disponibles
  • Menu simple : Ping et query permet de verifier que la machine hote repond bien
  • Menu System
    Reboot machine : redemarrage de la machine hote : pas tres cool si quelqu'un est en train de telecharger un fichier de 40Mo
    Lockup machine : bloque la machine distante
    Password list : fournit la liste des mots de passe contenus sur la machine hote (connexion Internet et mots de passe reseau).
    Get system info : informations sur la machine hote : processeur , memoire , capacite disque ...
  • Menu Key Logging
    Log keystroke : Le serveur ecrit dans un fichier (a specifier dans DISK FILE) toutes les touches tapees sur la machine hote. L'utilite principale pourrait etre de connaitre le mot de passe de quelqu'un. Petit a petit vous commencez a comprendre la puissance de cet outil... Et la necessite de vous en proteger.
    End keystroke : Arrete l'ecriture
    View keystroke log : Afficher le fichier precedemment enregistre
    delete keystroke log : Detruire ce fichier
  • GUI :
    System message box : Affiche sur la machine distante une boite de dialogue avec le message que vous voulez (title : titre de la boite de dialogue, message : texte de la boite de dialogue).
  • MS Networking
    Add share : Permet de partager des unites de disque comme si vous etiez sur un reseau Microsoft. Vous avez acces au lecteur distant comme si c'etait un lecteur local (grace a l'explorateur). Specifiez dans pathname le chemin distant que vous souhaitez partager (ex : C:\).
    Remove share : C'est l'operation inverse de la precedente.
    Map shared device : Cree une unite de disque sur votre machine permettant d'acceder a la connexion partagee precedente depuis le gestionnaire de fichier Windows .
    Umap shared device : C'est l'operation inverse de la precedente .
  • Process : ce menu permet de tuer , lister ou creer un process .
  • Registry : Permet d'acceder a la base de registre de l'ordinateur distant afin d'y faire des modifications. Cette fonction est tres utile pour faire du depannage a distance. Elle est tout de meme a reserver aux experts de la base de registre etant donne que l'on peut faire enormement de dommages au systeme en la modifiant .
  • Menu Multimedia
    Capture AVI : genere un "film" de l'ecran hote pendant un nombre specifie de secondes .
    Capture screen : cree une copie d'ecran et la sauve sur la machine distante avec le nom specifie dans "filename".
    Play/stop WAV : Permet de jouer un fichier WAV sur la machine distante. Sympathique pour annoncer son arrivee sur la machine du collegue.
  • File/directory : Ce menu est assez clair et simple d'utilisation et permet de manipuler les fichiers :
    Creer des répertoires
    Lister les fichiers
    Effacer des fichiers
    Copier des fichiers
    Transferer des fichiers de votre machine a la machine sur laquelle vous etes connectes et inversement.
  • Compression :
    Freeze file : Permet de comprimer (tout en encrytant) un fichier. L'operation inverse est effectuee grace a l'option "melt file".
  • DNS : Transforme une adresse IP (ex :120.25.23.01) en adresse DNS (ex :www.puissancepc.com) et inversement.
  • Server Control :
    Shutdown server : Tue a distance le serveur : C'est une bonne methode pour desinstaller un serveur present sur une machine (encore faut-il connaitre la cle XOR).
    Restart server : Cela peut etre utile si vous pensez que le serveur a quelques probleme
    Load/remove plugins : permet d'installer a distance des nouveaux plugins dans le serveur. Afin de le mettre a jour. Meme Microsoft n'avait pas pense a ca pour mettre a jour Windows avec son "Windows update"
  • Menu BOpeep (si vous avez installe le plugin sur le serveur et sur le client) : Lancer le streaming video de l'ecran hote afin de voir en temps reel ce qui se passe sur l'autre ecran. Pas mal pour depanner un ordinateur distant. Pour utiliser cette fonction, le plugin BOpeep.dll doit egalement etre installe sur le client (menu.....) . Il faut pour voir apparaitre l'ecran distant en streaming aller dans "plugin/BOpeep" et lancer la connection en specifiant comme adresse celle fournit par le serveur par la ligne: Vidstream started on xxx.yyy.zzz.ww:rrrr. Recopiez tout simplement cette suite de chiffres separes par des points.

Vous venez d'avoir un apercu des possibilites de cet excellent utilitaire d'administration a distance . Le meilleur devrait etre a venir etant donne que de nombreux plugins sont en preparation . Je vous conseille de vous entrainer en installant a la fois le client et le serveur sur votre machine ( a moins d'avoir un pote comprehensif pour) pour vous faire la main sur Back Orifice . Signalons egalement que la plupart des editeurs d'anti-virus ont mis a jour leur bases de donnees de signature pour reconnaitre Back Orifice comme un virus (Comme Norton Antivirus) . Allez , a vous de jouer , ne faites surtout pas les gros mechants une fois que vous aurez trouve des victimes .

Amadeorus


Les trojans Sommaire Liste des ports