Denna mailen er veldig viktig, og spesiellt de av dere som kjører
Microsoft Windows 95 eller Microsoft Windows 98 bør for sin egen del
lese denne mailen svært godt. Andre som kjører f.eks. Linux, Mac eller
NT bør selvfølgelig også lese den.
Jeg har ikke snakka med listeadministrator om denna mailen, men jeg vil
anta at han ikke har noe imot den.
Så videre til selve innholdet:
Det har vært litt snakk om et program / virus som kalles Back Orifice
(BO) i det siste, og særlig igjennom den mer historie-forfalskende delen
av media har Back Orifice blitt slått opp i oppslag som om dette er
internett's undergang, og Aftenpostens "journalist" uttalte selv til en
heller rasende IT-konsulent "Jeg skriver ikke for teknikere, men for
mannen i gata". Uansett synes jeg ikke at det er en gyldig grunn for å
skape panikk - noe jeg vil prøve å ikke gjøre selv =)
For å få lagt fakta ut:
* BO er ikke et virus Æ1Å, selv om det legger seg i registry, på
samme måte
som et virus eller f.eks. Internet Explorer 4.0 - så en virusscan *kan*
oppdage det, men vil ikke kunne gjøre noe mot det.
* Programmet overføres som alle andre program, man laster det
ned via
web/ftp, eller får det oversendt via mail eller IRC. Man må *selv*
innstallere det - om du får det og aldri kjører programmet så har ingen
skade skjedd.
* Programmet i seg selv er helt harmløst, det ødelegger ikke
filer
eller på andre måter fucker opp maskina di.
Så for å forklare dette. BO er som sagt ikke et virus, men det er pr.
definisjon ett "remote administration tool" - eller ett
fjernadministreringsverktøy på norsk. I essens er det et program som -
når det er innstallert - gir *alle* med en server-versjon av BO total
adgang til maskinen din sålenge du er online (logget på internett). Er
du ikke online er ei heller BO et problem for deg. For å beskrive
misbruket som kan utføres kan jeg - hvis jeg velger å infisere en annen
maskin - uploade (laste ut til en annen maskin) all informasjon du har
liggende på maskina di, jeg kan starte programmer, åpne og lukke
CD-ROM'en, bevege musa di, sende mails fra din konto, hente ut passord
og så videre, og så videre. For å ta det foreløbig verste eksempelet kan
jeg bedrive romovervåkning så lenge den infiserte maskinen har webcam og
mikrofon innstallert.
Dette er skrekkeksempler. Som sagt må man selv innstallere BO, det betyr
at f.eks. jeg må sende det til en annen og deretter overbevise denne
personen om å kjøre programmet for at det skal få effekt. Derfor: ALDRI
TA IMOT PROGRAMMER FRA FOLK DU IKKE STOLER PÅ. Dette kan *aldri*
understrekes godt nok, særlig på en mailingliste som denne er et bra
mål, mange brukere hvorav det sannsynligvis finnes uerfarne brukere som
åpner vedlegget. I seg selv er programmet harmløst - problemet er de som
misbruker det.
For å finne ut om det er BO på maskina di kan du gjøre følgende, men
denne operasjonen innebærer at du tar en rask tur innom kjernen i
operativsystemet ditt (altså da f.eks. Windows) som kalles registry og
her *kreves* det at du er forsiktig, selv om dette er en relativt enkel
operasjon.
Gå på "Start" og "Kjør" og skriv inn "regedit" og trykk "OK" du kommer
nå til det som kalles registry. Her vil du få opp en mildt sagt
forvirrende katalogstruktur, men dette er er veien du skal gå (bruk
plusstegna utenfor mappene, ikke dobbeltklikk):
HKEY_LOCAL_MACHINEØSOFTWAREØMicrosoftØWindowsØCurrentVersionØ
Under CurrentVersion vil du finne opptil flere mapper som starter med
Run, f.eks. kun Run, RunServices, RunServicesOnce, RunOnce for å nevne
de vanligste. I det høyre vinduet ditt der, som er oppdelt i "Navn" og
"Data" vil det ligge noe som vanligvis ser slikt ut:
Standard (Verdi ikke angitt)
Er BO på din maskin, vil det se slikt ut:
Standard ".exe"
Det er fullt mulig at du vil finne ting som ser slikt ut:
Standard "systray.exe"
eller liknende, men de kan du trygt overse. BO gir ikke filen ett navn,
men finner du en som heter ".exe" er det svært sannsynlig at BO er der,
desverre. IKKE FJERN DENNE VERDIEN. BO skal ikke legge seg under andre
deler enn run-mappene, så disse trenger du ikke å lete igjennom.
Nå håper jeg at de fleste av dere ikke finner verdien som det var snakk
om =)
Derimot, har du denne verdien liggende så vil det alltid være en fordel
å bli kvitt den, men det må gjøres på en spesiell måte. Gå på "Start",
"Programmer" og deretter "Windows utforsker". Dette er den mer
forståelige delen av filer som eksisterer på maskina di, men samme
varsomhet anbefales her. Gå i mappe "Windows" og deretter til mappe
"System". Gå på "Vis" og velg "Detaljer". Nå skal du få opp en loddrett
rekkefølge på alle filer som er innstallert i denne mappa, og det vi
skal finne her er en fil UTEN ikon, UTEN navn men som bare heter ".exe".
Eksisterer denne filen, så bør følgende gjøres:
Gå tilbake til regedit. Slett ".exe"-verdien vi snakket om før. Restart
maskina. Gå til Windows utforsker, og slett selve filen ".exe". Deretter
gå på "Start", "Søk etter" og tilslutt "Filer eller Mapper". På "navn"
skriver du inn windll.dll og sørger for å søke i C:/. Etter å ha slettet
denne filen, restart maskinen på nytt, søk etter windll.dll på nytt og
filen skal være borte. Er den fremdeles der - vær så snill å ta kontakt
med meg, svar til denne adressa. Det er viktig at du ikke har noen andre
programmer - som mail - aktivt når du gjennomfører dette. Jeg vil enda
en gang påpeke viktigheten av forsiktighet hvis du går inn registry og
utforsker.
Det hevdes å være flere programmer som fjerner BO for deg automatisk
bare du innstallerer dette. Problemet her har vært at folk i ren
desperasjon har innstallert disse programmene ukritisk, og dermed gått i
fellen - de har faktisk innstallert BO, og ikke et program som fjerner
det. Selv har jeg nettopp for 2-3 timer siden innstallert et program som
kalles BODetect, som etter sigende skal virke, men før jeg gir dere all
min anbefaling på det, så tester jeg det ut på min egen maskin. Hvis jeg
selv er fornøyd med det, vil jeg senere sende ut melding på
mailinglistene, og kan da sende det til interesserte. Inntil da vil jeg
egentlig ikke anbefale noen å laste ned noen programmer som gir løfter
om å fjerne BO for deg. Selvfølgelig blir det opp til deg å vurdere om
du vil anse meg som en du stoler på - uansett blir aldri filen sendt ut
på selve mailinglista, kun til enkeltpersoner. =)
Jeg vil da tilslutt gjenta min største og første anbefaling: ALDRI TA
IMOT PROGRAMMER FRA FOLK DU IKKE STOLER PÅ! Følger du denne regelen, vil
risikoen for både en virus- og BO-infeksjon reduserer til det minimale.
Jeg har prøvd å skrive denne laaaaaange mailen på en måte som ikke vil
virke teknisk skremmende på noen, og jeg hadde verdsatt tilbakemelding
på mailen. Har dere spørsmål, ikke nøl ved å maile dem til meg, jeg skal
gjøre mitt beste for å svare.
Linker som bør besøkes ang. BO
Telenor Nextel har en del interessant stoff på:
http://www.nextel.no/om/nettvett/908528620.9542.html
En bedre forklaring på avinnstallasjon av BO:
http://www.nwinternet.com/~pchelp/bo/bo.html
Mer informasjon om BO: http://www.iss.net/xforce/alerts/advise5.html
Mer informasjon om andre sikkerhetshull:
http://www.iss.net/xforce/alerts/
Skaperene av BO: http://www.cultdeadcow.com/
Håper mailen verdsettes =)
Vennlig hilsen
Christian Jacobsen
Datanerd av yrke
Æ1Å Det kategoriserer iblandt som et trojansk virus, selv om effekten av
det ikke tilsier at det er et virus, så bruker den nærmest identiske
trojanske metode som meget avanserte, og meget farlige virus. Jeg antar
at dere alle kjenner til historien om den trojanske hest, og lar dere
gjette dere fram til hva et trojansk virus i såfall gjør. =)