Back Orifice 2000  El troyano de Windows® NT y Windows®2000

© Jorge Machado  Lima-Perú
En Agosto de 1998 se difundió un sistema de control de redes, denominado Back Orifice, desarrollado por el grupo de hackers conocido como "El Culto de la Vaca Muerta".

Concebido como una irónica demostración de la falta de seguridad en Windows® 95 y 98, (su nombre está inspirado en el MS Back Office), en esa oportunidad fue desarrollado para Windows NT y Windows 2000, con el nombre de Back Orifice 2000.

The Cult of the Dead Cow home page.

Su lanzamiento fue oficialmente anunciado el 10 de Julio de 1999, en la 7a Convención de hackers, denominada DEFCON 7,

Logo del evento DefCon 7

celebrada en el hotel Alexis Park Resort de Las Vegas, Nevadas. Back Orifice 2000 fue propagado por Internet por primera vez el 11 de Julio y tuvo que ser re-lanzado 4 días después, debido a que su primera versión estaba infectada con el virus CIH. Si bien esta aplicación es un excelente sistema de control remoto de las estaciones de trabajo de una red, también se convierte en un poderosísimo Caballo de Troya

Sus autores comparan la eficiencia de su sistema con PC-ANYWHERE de Symantec y CARBON COPY 32 las cuales demuestran que Back Orifice 2000 es más potente y cuenta con mayores prestaciones.

Por causa de Back Orifice, Microsoft ya no podrá afirmar que sus sistemas son completamente seguros!! Sin embargo, la gran corporación expresó, su grave preocupación en una página web dedicada por completo a Back Orifice 2000.

El 19 de Julio, en la ciudad de San Francisco, The CULT OF THE DEAD COW (cDc) retó públicamente a Microsoft Corporation a retirar voluntariamente del mercado, todas las copias de su sistema de redes, Systems Management Server. Más aún, el grupo cDc invitó a la industria de antivirus de todo el mundo para realizar una búsqueda de firmas de virus en los archivos del SMS de Microsoft.

http://www.cultdeadcow.com/news/pr19990719.html

Back Orifice, en ambas versiones, de muy fácil y amigable manejo, es uno de los más temibles administradores de sistemas de redes que jamás antes se haya creado. La primera versión permitía a cualquier persona que la ejecutase, tomar el absoluto control de las demás estaciones de trabajo, con Windows 95 o Windows 98, sin que los demás usuarios de la red se percatasen y ahora repite lo mismo con Windows NT y Windows 2000.

Esta situación reviste suma peligrosidad, por cuanto sus autores distribuyen el código fuente en la página web de El Culto de la Vaca Muerta, lo cual permitirá que el programa sea modificado, para disfrazar su apariencia, pero sin perder sus poderosas y peligrosas capacidades.  Back Orifice 2000, tiene una interfaz estándar de Windows, lo que le permite controlar varias estaciones al mismo tiempo:

Una de las pantallas de Back Orifice 2000

Back Orifice 2000 es mucho más difícil de detectar, sin embargo PER ANTIVIRUS®, a partir de su versión 5.3, no solamente lo detecta y advierte su presencia en cualquier equipo, sino que además impide su ejecución y lo elimina eficientemente.

Las 2 caras de Back Orifice 2000

Compuesto por 2 módulos básicos: Cliente y Servidor, su accionar es totalmente esquizofrénico, ya que después de ser una verdadera y muy eficiente herramienta de control para los sistemas de redes, permite que cualquier usuario que lo ejecute como Cliente desde su estación de trabajo, haga lo que le venga en gana con las demás estaciones, a las cuales convierte en Servidores, pudiendo modificar, renombrar, borrar archivos, desconfigurar atributos y privilegios, modificar el registro, generar molestosos sonidos continuos, o hasta bloquear los sistemas remotos, etc., etc.

Esta nueva versión incluye un encriptamiento de seguridad que permite al "administrador eventual" usar esta herramienta para diagnósticos remotos, sin embargo puede ser usado por otros usuarios que también tomarán control del sistema, pudiendo llegar a provocar un CAOS total en los sistemas de redes NT.

Su Wizard de configuración le permite crear un componente de Servidor Back Orifice con apenas 140 Kb, que necesita ser desplegado en los sistemas remotos para que una vez instalado en los mismos, el "Cliente" tome el control de los eventuales "Servidores".

Su gran peligrosidad reside en el hecho que con ciertos "Plug ins" que permiten usar el protocolo TCP/IP, un hacker experto puede controlar a través de Internet a cualquier otro servidor fuera de su locación, que haya sido "contagiado", debido a que es sumamente fácil conocer las direcciones IP de cualquier servidor en el mundo.  

Nuevos posibilidades escondidas de daño

Una de las más resaltantes capacidades de Back Orifice 2000, es la de convertir cualquier directorio, en un directorio compartido, con el objeto de controlar estaciones de trabajo en Windows NT. Esta posibilidad es sumamente peligrosa en el caso de que empleados resentidos que sientan deseos de ocasionar daños, en forma furtiva, a cualquier estación o al propio servidor central.

Otra nueva capacidad es la de ejercer un poderoso control remoto en el propio Servidor Back Orifice. Ello permite no solamente realizar cambios sino además agregar otros "Plug ins" a los sistemas remotos sin necesidad de reinstalar el servidor.

El hacker que usando el seudónimo de SirDystic, lidera el grupo el Culto de la Vaca Muerta. "Sir Dystic", el hacker autor del programa original Back Orifice, lanzado en 1998, da a conocer el lanzamiento de su nueva versión para Windows 2000 y NT.

"El Culto de la Vaca Muerta" conformada en Texas, tiene su propia página web en Internet, debido a que la Constitución de  los Estados Unidos, permite una irrestricta libertad de expresión mientras no se demuestre un daño ocasionado a terceros, debidamente denunciada y probada ante una Corte de Justicia.

Para evitar ser sorprendidos por el FBI, esta página web con frecuencia desaparece y vuelve a aparecer en otras locaciones. 

PER ANTIVIRUS® detecta este Troyano/backdoor, impide su ejecución y lo elimina eficientemente.

Ir al menú anterior

Regresar al Portal de PER SYSTEMS