BO2K把WindowsNT作为新的攻击目标.pdfVIP

B02K把WindowsNT作为新的攻击目标 柴丽雅陈爱民 总参六十一研究所 摘要：本文介绍了黑客新软件B02K的特点及危害，与前一代BO软件做了 比较，并提出了防范对策。 Dead oftlle Cow)是一家著名的电脑黑客集团．该集团于1999 CDC(Cult Office 年7月10日对外发布了其BO第二代产品：B02K。微软公司的Back Office2000，B02K是大名鼎鼎 套件可以缩写为BO，而B02K并非是Back Orifice Orifice的新版本。 的Back 2000，它是该集团98年发布的Back BO软件属于客户，服务器应用程序。因为BO服务器程序经过隐秘地安 装后，它实际上不可能为终端用户所察觉，所以很多厂商就将其定性为“特 洛伊木马”病毒。所谓“特洛伊木马”病毒．颐名思义，它应该是把自己伪 装成一种样子，实际上却完全是另一种样子的东西。因此BO软件～直有其 两面性：它一旦被安装在基于Windows的系统中．系统管理员可以把它作为 一个部门合法的远程控制工具．同时也就给电脑黑客提供了以非法监控为目 的的远程访问机会。但是，由于BO是全球最具影响力的黑客团体的产品． 所以几乎没人敢“合法”使用它，而一致认为它是黑客工具，是病毒。 第一代BO软件 第一代BO黑客软件是一种针对Ⅵhdows95／98操作系统，而且以TCP／IP 协议连网的机器的黑客工具，主要有四个文件；BOSERvE，EXE， BOGUI．EXE，BOCL饪iNT．EⅫ．BOCONFIGⅨE。 BO可通过网上下载、电子邮件、盗版光盘、人为投放等途径传播，它 可以直接安装，也可以极其隐蔽地粘贴在其他应用程序中，被间接安装，一 旦激活，就可以自动安装，创建WindllDLL文件，然后删除自安装程序， 隐姓埋名，潜伏在机器中，此时的Wmdows95／98表面上看不到任何变化(这 种设计与计算机病毒类似)，而实际上黑客工具中的BOSERVEEXE服务程 序已悄悄的运行，机器一旦连入基于TCHIP的网络中，如Internet，那么， 网上的任何一台PC机就可以使用BOGUIEXE图形界面的客户端程序或者 BOCLIENT．EXE文本型客户端程序，对这台被BO感染的机器进行远程控制 和操作。 利用．B．O的SWEEP一或者￡塑Q丛Qg命令可搜寻到世界上任何一台被 BO感染的、而且正在上网的计算机的IP地址；利用旦Q丕筮蕉剑奠能可获 t09 取详细的计算机系统信息：利用璺Q圈鳌撞剑功篚，可攻击与被BO感染计 算机联网的其他计算机；利用曼Q焦逝塞边能可查阅、创建、删除和修改系 统注册表，利用Netscape可上载控制程序或下载对方文件；利用BO过程控 制功能，可以运行被攻击的计算机中的任何一个程序，也可以运行植入一个 程序，如病毒等，这样被控制的机器可能产生的后果将不堪设想。 第一代BO软件缺省安装是绑定在!133Z湛旦．它的客户机程序和服务 器程序使用该端口进行通信，所以我们使用一些工具软件直接关闭31337端 口，就可以防止普通BO的黑客入侵。 B02K新特点 B02K的四大特点包括：支持WindowsNI／95／98；提供开放式结构允许 第三方插件加入；提供强大的加密技术；开放源代码。与前一代相比较，最 NT系统，在此之前，NT系统一直是相对 大的优势在于可以控制Windows 比较安全，所以一般被用来保存企业敏感信息，这就使得B02K对企业级系 统更有威胁。 B02KGUIEXE，UMGR32．EXE。 B02K具有更宜观的界面和一个短小精悍的配置向导，CDC自称B02K 是控制微软网络的最佳方法，它允许系统管理员利用安全加密技术使用这一 工具来进行远