백 오리피스

백 오리피스 기술 백서백 오리피스는 서버/클라이언트 프로그램입니다..서버 툴(boserve.exe)은 상대방의 컴퓨터에 설치하고 클라이언트 툴(bogui.exe,boclient.exe)을 사용해서 상대방의 컴퓨터를 조종하게 됩니다.조정할 수 있는 정도는 어마어마 합니다. 모든화일에 대한 접근, 삭제,실행, 프로세스 제거(실행중인 프로그램 멈추기), 현재 상대방 윈도우에서 실행되고 있는 화면의 캡춰(BMP, AVI), 키보드모니터링(서버측 컴퓨터에서 현제 타이핑하는 것을 알 수있다), 각종 패스워드 훔쳐오기, 프로그램 설치, 제거, 부팅하기,레지스트리 편집, 메시지 보내기... 등등 상대방의 컴퓨터를 자신의 컴퓨터 처럼 사용할 수 있습니다..단, 현제까지 나온 백 오리피스 버젼으로는 Windows 95, 98 만 공격할 수 있다. 그러나 cDc 에서는 NT 버전 발표를 공언하고 있다. 1. 백 오리피스에 감염이 되면 ..c:\windows\system\.exe c:\windows\system\windll.dll 의 두 화일이 생성됩니다.. 그리고 레지스트리의 내용도 바뀌게 되어있죠.. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices 에 .exe 가 등록이 되게 됩니다... 2. 제거하기 ... v3 최신버젼으로 검사를 하면 오리피스 트로이안(tryjan) 바이러스 라고 나오지만 치료는 되지 않습니다.. v3 로 검사를 하게되면 지울수가 없다고 나오죠 !! 이유는 레지스트리에 등록이 되어 윈도우가 부팅될때 화일이 자동으로 실행이 되기 때문입니다.. 실행중인 화일은 삭제할수 없는게 당연하죠.. 참고로 아래는 안철수 바이러스 연구소에서 저한테 회신온 내용입니다.. 안녕하십니까? 안철수컴퓨터바이러스연구소입니다. .EXE 파일이 지워지지 않았던 이유는 윈도우로 부팅하는 과정중 이미 실행된 상태이기 때문입니다. 도스창이 아닌 도스모드나 깨끗한 시동 디스켓으로 부팅하신 후에 도스용 V3+로 검사하시면 삭제할 수 있습니다. 백오리피스는 다른 파일에 감염되는 바이러스가 아니고 일반 사용자에게 해로운 프로그램이기 때문에 삭제하는 것이므로 바이러스 치료와는 다릅니다. V3Pro 98에서는 백오리피스에 의해 생긴 레지스트리 정보를 삭제하지 않습니다.- 안연구소 인터넷 담당자 드림. 위의 내용대로 도스모드로 부팅한뒤에 검사를 하면 두개의 화일은 지워 집니다.. 그러나 레지스트리에 등록된 내용은 도스모드에서 건드릴수 없죠... 그렇기 때문에 v3 로는 백오리피스를 치료 할 수 없습니다.. 제대로 치료를 하시려면 백 오리피스 전용 제거툴 을 사용해야 합니다.. 3. Back Orifice 의 구성boserve.exe - 공격당할 시스템에 설치 하는 화일.bogui.exe - BO 클라이언트 GUI 환경. 이것으로 boserve.exe 가 설치된 컴퓨터를 조정boclient.exe - BO 클라이언트 텍스트 모드의 조정툴.bo.txt - BO 설명서melt.exe - freeze로 압축한 파일의 압축 해제freeze.exe - 파일의 압축boconfig.exe - BO의 각종 설정을 위한 프로그램plugin.txt - 플러그인 만들기에 대한 설명 4. 이제 본격적으로 프로그램을 사용하는 방법을 알아보겠습니다..bogui.exe를 실행하면 먼저 ping host 가 나오게 됨니다..그리고 Target host:port( 왼쪽 위)에는 원하는 IP를 적습니다..포트는 우선 31337게 설정 되어 있습니다.. 특별한 일이 없으면 안만져도 상관없습니다.. 그리고 그 아래 명령창이 두 개가 있습니다.. 이것들은 각종 명령어를 고를 때마다 기능이 틀리게 되어 있습니다 ping host 일때는 둘다 Unused라고 나오는데 이것은 쓸 수 없다는 말이겠죠 ??그리고 Targethost:port 가 처음에 127.0.0.1 이라고 되어있는데 이것은 자기 자신의 컴퓨터로 루프백 하는 것을 의미합니다..(자신의 컴퓨터를 시험으로 사용하세요..) 1. ping host 지정한 IP가 현제 인터넷으로 연결이 되어있는지 확인하는 명령입니다. ---------- Packet received from host xxx.xxx.xxx.xxx port 31337 --------- ------------------------------- End of Data --------------------------- 연결이 되면 이런식으로 나오게 됩니다...2. app add / appadd 텔넷 세션을 통해서 텍스트나 도스 어플리케이션을 조정할 수 있게 해줍니다 ..3. app del / appdel 연결되어 있는 프로그램을 마침니다.. 4. app list / applist연결되어있는 프로그램을 나타내 줌니다..5. Directory create / md 디렉토리를 만들어 줍니다. 도스에서는 md 명령과 갑습니다.. 근데 변수창 두개가 여전히 Unused라고 나오는데 왼쪽 변수창에다 만들고 싶은 디렉토리명을 적어줘야 합니다. 또한 풀패스로 적어줘야 합니다..(c:\dos\a 처럼)6. Directory list / dir이건 dir명령과 같습니다. 왼쪽 변수창에 Directory location이라고 나오는데 여기에 보고 싶은 디렉토리를 풀패스로 적어 줘야 합니다. 형식은 c:\windows\*.* 이런식인데 (*.*)이 반드시 들어가야 합니다..7. Directory remove / rd 디렉토리를 지워주는 명령입니다..8. Export add / shareadd 공유 디렉토리를 추가하는 명령입니다..자신이 임의로 아무 디렉토리나 공유할 수 있습니다.. 이 명령의 변수는 왼쪽의 Share name과 오른쪽의 Local directory,pass,remark라고 있는데 Share name 은 임의로 정하고 Local directory는 원하는 디렉토리를 적습니다..그리고 오른쪽 아래쪽에 pass를 적어줍니다.. 9. Export delete / sharedel공유 디렉토리를 지워주는 명령입니다..10. Export list / sharelist 현재 공유로 잡혀 있는 디렉토리와 그 패스워드를 보여줍니다.11.File copy / copy파일을 카피할 수 있는 명령 입니다..12.File delete / del 파일을 지울 수 있는 명령입니다..사용 방법은 왼쪽위에 있는 filename 에 풀패스와 파일 이름을 적어주면 됨니다..(예 : c:\dos\m.exe )13.File find / find 파일을 카피할 수 있는 명령입니다.. 사용 방법은 왼쪽위의 file mask 는 찾는 파일을 적어 줍니다..( 예 : m.exe , m.* , *.exe ..등) 그리고 오른쪽 위에 있는 search path root를 적어 주면 됩니다..( 예 : c:\ , c:\m\ )14.File freeze / freeze 파일을 압축해 줍니다..15.File melt / melt 압축된 파일을 풀어 줍니다..16.File view / view 파일을 보여 줍니다..정규 텍스트 파일이어야 합니다..(사용법 : c:\config.sys )17.HTTP Disable/Enable http서버를 on/off 할 수 있습니다.. Disable는 변수가 필요없습니다,그러나 Enable는 port와 root를 적어줘야 합니다.. 18.Keylog begin/end 이것은 매우 유용하고 위험한 툴인데 오른쪽 아래의 Log filename에 적당한 이름을 만들어주고 명령을 주게되면 상대방의 키보트 키는 것이 텍스트로 기록 됩니다..그런데 저장은 상대방의 컴퓨터의 하드디스크에 저장이 됩니다.그러니까 공유를 하거나 카피를 해야 합니다.. 19.MM Capture avi/frame/screen/List capture device/sound 이것은 멀티미디어에 관한 명령입니다. screen명령은 현재 상대방 컴퓨터의 데스크탑을 bmp형식으로 캡춰해서 저장하고 sound는 상대컴에서 지정된 wav화일을 실행시켜줌니다.20.Net connections/delete/use/view 네트워크 자원으로부터 연결,끊기,등을 수행 합니다..21.Plugin execute/kill/list 백 오리피스 플러그인들을 실행 하거나 중지할 수 있습니다..22. Process kill/list/spawn 이것은 상대방 컴퓨터에서 실행되고 있는 프로그램을 살펴보고(list) 실행을 종료시키고(kill) 덧실행(spawn)시킬수 있는 명령들입니다.. process list 는 현재 실행하고 있는 프로그램 리스트와 PID 가 나옴니다. process kill은 변수가 Process ID(PID) 입니다.. process spawn은 현재 실행중인 프로그램을 덧 실행 할 수 있게 해줌니다. process spawn은 풀패스로 지정해 주어야 합니다..23.Redir add/del/list add는 들어오는 TCP 나 UDP 패킷을 다른곳(다른 IP 어드레스)으로 보냄니다.. 또한 del 은 다른 곳으로 보내는 것을 중지하고, list 는 열려있는 포트를 보여줍니다..24.Reg create key/delete key/delete value... 이것은 윈도우 95 / 98 의 레지스트리를 편집할 수 있는 명령들입니다..25.System dialogbox/info/lockup/passwords/reboot Title에 제목을 쓰고 Text에 내용을 적은후 실행하면 상대방 컴퓨터에 대화상자로 내용이 뜸니다.... info는 상대컴의 현재 사용자,cpu,윈도버전,메모리,하드용량등의 정보를 알수 있습니다. lockup은 말그대로 컴퓨터를 잠가 버림니다. passwords 는 시스템에 캐시되어 있는 패스워드를 보여줍니다..또한 화면보호기 암호도 보여줍니다..reboot는 말그대로입니다..26.TCP file receive/send상대방의 컴퓨터를 어떤 IP 어드레스에 연결을 하게한뒤 데이터를 저장/ 보내기를 할 수 있는 명령입니다. 참고 : 백 오리피스를 구할 수 있는곳 [ http://www.cultdeadcow.com/ ] [ 백 오리피스 ] 상대방의 컴퓨터에 boserve.exe 설치 하는 방법. 백오리피스 홈페이지에 가면 plug-in 이라는 것이 있습니다..그중에서 SaranWrap와 SilkRope이 있는데 이것은 바로 어떤 실행파일 (setup.exe , m.exe)등에 boserve.exe를 합쳐주는 프로그램입니다. 그렇기 때문에 원래 프로그램 크기보다 약간 커지게 되 있습니다.. 백오리피스를 사용하려면... 백오리피스를 사용하려면 반드시(?) IP address를 알아내야 합니다.그러나 이것도 plug-in중에 ButtTrumpet 이 있는데 이것을 사용 하면 알 수 있습니다. 스위핑. 스위핑이란 백 오리피스를 사용 하려면 IP를 알고 있어야 하는데 스위핑을 사용하면 서브넷을 검색해서 그 서브넷에 물려있는 컴퓨터에 백 오리피스가 설치되어있는지를 검색할 수 있느 프로그램입니다.. ( 사용법 : boclient.exe를 실행 하고 BO> 프롬프트 상에서 BO>sweep xxx.xxx.xxx 하고 명령을 내리면 xxx.xxx.xxx 의 서브넷을 스캐닝해서 boserve.exe가 설치된 IP를 찾아내 줌니다.. 각종 플러그인들..Butt Trumpet 1.1 - 39.3 KBSaran Wrap 1.1 - 17.1 KBSilk Rope 1.1 - 48.7 KBSpeakeasy 0.1 beta - 30.7 KB 백 오리피스를 제거하는 방법 ... 아래 사이트에 가셔서 프로그램을 다운 받으시고 검색을 하면 자신의 컴퓨터에 백 오리피스가설치되어 있는지 알 수 있고, 제거도 할 수 있습니다. 백 오리피스 제거 툴 있는곳 [http://members.xoom.com/SmokeSoft/] [ 제거툴 ]마이크로소프트사의 공식입장 [ http://www.microsoft.com/security/bulletins/ms98-010.htm ]cDc(해커 그룹)의 반응 [http://www.cultdeadcow.com/tools/bo_msrebuttal.html ] 집필 후기.... 백 오리피스라는 프로그램은 엄청난 위력을 가지고 있습니다. 개인의 모든 정보를 싸그리 챙겨올 수 있게 해주지요..근데 이런 문서를 쓰게된 이유는 그런 프로그램의 사용을 권장하려는 것이 아니라 이런 프로그램에 대해 철저히 알고서 이런 프로그램에 당하지 않도록 하기 위해서 입니다.. 아무쪼록 모르는 사람들한테 쓰지 마시고 그 사람들에게 이런 것이 있다는 것을 알려주시고 제거하는 방법도 알려주시기 바랍니다. 진정한 해커란 남에게 피해를 주는 것이 아니라 남들을 보호해 주는 것입니다.. Will Be Update .......