Programm Automatisch starten

tmjuk · Beitrag von **tmjuk** » 02.11.2006 20:48

Hi,
also zu diesem Link folgendes:
Back Orifice
Die amerikanische Hackergruppe Cult of the dead cow veröffentlichte mit dem Namen "Back Orifice", das sie als "Fernwartungswerkzeug für Netzwerke" bezeichnet. Das die Intention eine andere ist, ergibt sich schon aus dem Namen: Back Orifice (hintere Öffnung) übersetzt man hier am Besten mit Hintertür. Denn das Programm macht es fast zum Kinderspiel, Schindluder mit Windows_PCs zu treiben.
Das nur 124 kByte große "Server Modul" läßt sich nämlich an ein beliebiges Windows-EXE-Programm koppeln um es nichtahnenden Usern unterzuschieben. Wird die Datei ausgeführt, klingt sich der Server quasi unsichtbar im System ein. Von diesem Moment wartet das trojanische Pferd nur noch darauf, über das UDP-Protokoll geweckt zu werden.
Mit dem Client läßt sich bequem auf den befallen Rechner zugreifen. Unter anderem kann man das Dateisystem manipulieren, Tasks beenden, uvm.
Dieses Programm hat eine graphische Benutzeroberfläche. Es ist also demzufolge von nahezu jedem leicht zu bedienen.

Das Programm läßt sich gut manuell entfernen. In der Registry mit regedit.exe nachschauen unter:
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices"
Suchen nach Eintrag mit Namen "<blank>.exe" (Default-Filname) bzw. mit einem Eintrag der Länge 124928 (+/- 30 Bytes). Lösche den Einrag; er bewirkt, das der Server bei jedem Windowstart aktiviert wird.

Das Programm selbst liegt im Allgemeinen im Systemordner (System32 oder bei Win98 System) und ist daran erkennbar, das es kein Programmicon hat und eine Größe von 122 kByte (oder geringfügig mehr) besitzt.

Solltest du so die Datei nicht finden, gibt es die Möglichkeit sie über die Dateisuche von Windows zu finden. In der Datei steht mit großer Wahrscheinlichkeit die Zeichenkette "bofilemappingcon". Danach kann man suchen lassen. (Ein "Bug" der Programmierer

).
Zusätzlich wird im selben Verzeichnis auch noch die Datei "WINDLL.DLL" zu finden sein. Die loggt die Tastatureingaben mit, ist für sich allein aber ungefährlich.
Notfalls schau unter:
http://www.spiritone.com/~cbenson/curre ... rifice.htm
oder
[url]http://www.st_andrews.ac.uk/~sjs/bored/bored.html[/url]

Übrigens, noch mächtiger ist das Programm "NetBus"

So denn, bis bald

Beitrag von **Kiffi** » 02.11.2006 21:07

<OT>

tmjuk hat geschrieben:also zu diesem Link folgendes:

bitte in Zukunft Zitate, die nicht von Dir stammen, als solche
kennzeichnen: http://www.heise.de/newsticker/meldung/2551

</OT>

Danke & Grüße ... Kiffi

tmjuk · Beitrag von **tmjuk** » 02.11.2006 21:16

@ Kiffi,

der Text stammte nicht von dort, war aber trotzdem ein Zitat.
Werde mich dran halten

Danke , bis bald

tmjuk · Beitrag von **tmjuk** » 02.11.2006 21:18

He,
ich sehe gerade das hier mal jemand auf Winterzeit umstellen sollte

Torsten

Captn. Jinguji · Beitrag von **Captn. Jinguji** » 03.11.2006 20:43

Jilocasin hat geschrieben:also in der registry gibts für den autostart soweit ich weiss nur die schlüssel....

HKEY_CURRENT_USER/Software/Microsoft/Windows/CurentVersion/Run
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurentVersion/RunOnce
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurentVersion/Run
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurentVersion/RunOnce
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurentVersion/RunOnceEx

ansonsten den autostart-ordner von dir und den von "AllUsers"

ach ja und die Dienste, die laufen...

Go thou to www.sysinternals.com and downloadeth "autoruns" to thine PC. Once you runneth it, thou shallst find yourselves in states of wonder.

Jilocasin · Beitrag von **Jilocasin** » 04.11.2006 16:56

ich sag nix mehr...

aber geiles programm