Escritos
B. Piropo
Anteriores:
< Trilha Zero >
Volte de onde veio
05/10/1998

< Back Orifice IV: Instalando o BO >


Como o Back Orifice funciona? Porque é tão poderoso e causa tanto mal? Bem, como somente podemos nos defender dos perigos que conhecemos, vamos aprender alguma coisa sobre ele.

Os que acompanham esta coluna sabem que não costumo mencionar informações sem citar a fonte. E parte das informações que serão citadas adiante me foram enviadas por leitores através do correio eletrônico. O problema é que recebi, literalmente, centenas de mensagens sobre o tema, muitas delas com informações redundantes. Para ser justo, a cada item eu teria que anexar uma longa lista de nomes. Ao invés disso, reitero que os dados aqui citados provêm ou de consulta a sítios da Internet que discutem o BO ou de mensagens de leitores – a quem agradeço a colaboração e me desculpo por não citá-los individualmente. Isto posto, vamos ao BO.

O BO é um programa desenvolvido para Windows 95/98 (portanto quem usa Windows NT, Windows 3.1, OS/2 ou qualquer outro sistema operacional não precisa se preocupar com ele) que se aproveita dos próprios recursos de Windows de suporte a rede e das características do protocolo TCP/IP usado na Internet para transformar a máquina onde se aninha em um "servidor".

Ele se instala quase imperceptivelmente. Vem sob a forma de um arquivo executável (originalmente seu nome é Boserve.Exe, mas pode ser alterado). Na versão original, após um clique duplo sobre seu ícone, aparentemente nada acontece: o ícone desaparece e o próprio arquivo executável some do disco rígido. Cuidado, isto é parte do processo de instalação. Se algum dia algo parecido ocorrer com você, não dê de ombros achando que o programa executável estava corrompido ou algo assim: arquivos não desaparecem de discos rígidos sem mais nem menos. Em uma situação destas, fique alerta e apele para um dos procedimentos de detecção e remoção do BO discutidos aqui há duas semanas.

Evidentemente os (ir)responsáveis pelo BO perceberam que sua exótica técnica de instalação poderia alertar a vítima e desenvolveram métodos para anexar o BO a qualquer arquivo executável. Com isto, ao se clicar sobre o ícone, alguma coisa acontece (é executado o programa ao qual o arquivo de instalação do BO foi anexado) para distrair o usuário enquanto BO se instala sorrateiramente. Portanto muito cuidado: a animaçãozinha simpática que você recebeu de um "amigo", além de mostrar aquela bonequinha opulenta fazendo strip-tease, pode perfeitamente ter instalado o Back Orifice em sua máquina. Repetindo, então, a advertência da semana passada, a única forma absolutamente segura de proteger-se contra o BO: jamais execute programas que não tenham sido obtidos em fonte absolutamente confiável, especialmente se vieram anexados a mensagens de correio eletrônico.

Durante a instalação do BO o arquivo original desaparece, mas um novo arquivo executável e uma nova DLL (arquivo de biblioteca de ligação dinâmica, um dos arquivos auxiliares usados pelos programas Windows) são criados em seu HD e o Registro de Windows 95 é alterado. Por padrão os arquivos são criados no diretório Windows\System. O nome original do novo executável é Exe~1 (ou simplesmente Exe) e da DLL é Windll.Dll, mas tanto os nomes quanto o local podem ser diferentes. A entrada no Registro, porém, é feita obrigatoriamente no mesmo local, a chave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\, em uma das entradas Run, RunServices ou RunOnce. O problema é que elas incluem todos os serviços e processos carregados durante a inicialização da máquina, dos quais alguns são essenciais à operação do próprio Windows, e não se sabe com que nome o arquivo do BO foi registrado (mas se você encontrar uma entrada com o nome Windll.Dll remova-a sem titubear, que é o próprio).

A nova entrada no Registro faz com que, após instalado, o BO seja carregado automaticamente durante a inicialização de Windows. A partir deste momento, sempre que a máquina servidor estiver conectada à Internet, qualquer pessoa que conheça a senha do programa e o endereço IP da máquina servidor pode acessá-la e controlá-la através do programa cliente do Back Orifice.

Neste caso, o termo "controlar" não é exagerado. O operador do programa cliente detém o controle dos processos e do sistema de arquivo da máquina servidor. Isto quer dizer que, entre outras coisas, ele pode: copiar, ler, remover e alterar os atributos de qualquer arquivo ou diretório (por exemplo: pode transformar em ocultos todos os seus arquivos de dados, fazendo com que você não mais os encontre, mas ele sim), alterar, adicionar e remover quaisquer chaves ou valores do registro, controlar o acesso à Internet e disparar qualquer processo (uma das mensagens que recebi relata o espanto de um pobre internauta quando repentinamente viu abrir-se uma janela em seu monitor informando que a máquina seria reinicializada - o que de fato ocorreu alguns instantes depois).

Semana que vem veremos mais alguns detalhes.

B. Piropo