Страхи
С. Б.
Старейшая хакерская группа “Культ мертвой коровы” (Cult of the Dead Cow, cDc), взламывавшая военные сети Пентагона еще в 1984 г., с 1 августа начала бесплатное распространение программы Back Orifice (здесь обыгрывается название продукта Microsoft Back Office). Сразу после запуска она инсталлирует модуль, который практически невозможно обнаружить и уничтожить стандартными средствами Windows и антивирусными программами и который делает возможным удаленное управление компьютером с Back Orifice через Интернет. Кроме того, Back Orifice, используя собственный оригинальный протокол шифрования, связывается с одним из хакерских серверов и в дальнейшем любой злоумышленник получает через Интернет полный доступ ко всем ресурсам компьютера: он может в удаленном режиме прослушивать любые порты ПК, просматривать регистры и пароли, модифицировать или уничтожать файлы, сканировать вводимую с клавиатуры информацию и т. д.
Официальный представитель Microsoft заявил, что не считает Back Orifice реальной угрозой безопасности Windows-сетям, так как программу для установки надо запустить вручную. Но ведь сотрудники любой компании могут это сделать по глупости или из вредности - только в первые четыре дня после выпуска Back Orifice было скопировано 35 тыс. ее копий. Microsoft порекомендовала использовать межсетевые экраны, но cDc отметила, что большинство пользователей подключено к Интернету через простое модемное соединение, что обычно не позволяет применять брандмауэры. К тому же, хотя Back Orifice обладает уникальной способностью определять пароли, написана она с использованием только документированных (!) возможностей Windows, поэтому брандмауэры могут лишь несколько ограничить ее деятельность.
11 августа cDc выпустила версию Back Orifice для Unix и сейчас трудится над версией для Windows NT. Последний удар по аргументам скептиков, считающих Back Orifice не более чем простой программой мониторинга, нанес выпуск Java-аплета, который инсталлирует Back Orifice автоматически, так, что пользователь даже не подозревает об этом! Поэтому практически все ведущие поставщики антивирусных продуктов расценили Back Orifice как крайне опасную программу и решили объединиться в борьбе с ней.
P. S. Как сообщила “Лаборатория Касперского” (www.avp.ru), неизвестные злоумышленники распространяют Back Orifice через Web-узел www.fasticq.org под видом продукта FastICQ одноименной компании, который представляет собой ускоритель популярной чатер-системы ICQ, насчитывающей миллионы клиентов. Многие пользователи ICQ скачивают замаскированный Back Orifice и, вероятно, устанавливают его на свой компьютер. Кроме того, администраторы www.fasticq.org сами рассылают рекламу ложного FastICQ.
По-видимому, Back Orifice распространяется и под видом других бесплатных утилит или включается в инсталляционные пакеты пиратских копий ПО. Лучше применять средства борьбы с Back Orifice, полученные только из надежных источников. Тем более что на подходе новые версии Back Orifice и его клоны.
Скачать утилиты, обнаруживающие и уничтожающие Back Orifice, можно с сайтов: www.sinnerz.com/tp.html и www.bardon.com.
