tutto sulle back door ( in sintesi )

Ciao,
dopo i molti complimenti che ci sono stati fatti ,abbiamo deciso che era venuta l'ora di finirla con questa storia e quindi ci siamo messi dalla vostra parte contro questi LAMER (ho detto lamer non hacker) creando questo minicorso contro le backdoors sperando che vi possa essere di aiuto.

-=BackOrifice=-
una delle prime backdoors che è uscita fuori creando scompiglio tra il popolo di IRC.E' stata creata dal gruppo di hackers (questa volta sono hacker) "Cult of Death Cow".Ha le funzioni di una normale backdoor e con relativa facilità permette molte brutte cose :)
Per scoprise se siete infetti senza usare programmi specifici (tipo quelli nel nostro sito,che comunque vi invitiamo ad usare) dovete agire in questo modo:
-=aprire il RegEdit di Win9x e "ravanare" in HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ e controllare tutti i file EXE caricati dalla chiavi RUN e RunService.Non appena trovate un file sospetto (magari di 30kb) tremate:potrebbe essere il server di BackOrifice. A questo punto mantenete la calma e cancellate il file EXE (di solito si posiziona in c:\windows\system) e le chiavi del registry che richiamano quel file.
-=Se avete un firewall controllate la porta UDP 31337:se vi è attività probabilmente qualcuno stà cercando di comunicare con il vostro PC infetto.
-=Se temete che il vostro PC venga controllato,mentre siete collegati da una shell MS-DOS lanciate il comando netstat -an | find "UDP" e il risultato è UDP0.0.0.0:31337 ,significa che qualcuno stà usando la vostra porta 31337 (indovinate un pò per fare cosa?)

-=NETBUS=-
Un altro programma con le stesse funzioni del BO ,ma che forse per via della facilità di utilizzazione,ha creato molti più problemi del primo.Questo programma è stato creato da un certo Carl-Fredrik Neikter
( cf@trancometer.se è la sua e-mail per la cronaca) e da un gruppo di amici hacker.A differenza del BO però usa il protocollo TCP/IP sulle porte 12345 e 12346.
Un valido metodo per controllare online se qualcuno stà usando le nostre port per "Netbussarci" ò quello di lanciare la riga di comando netstat -an | find "12345" da una shell del DOS ,oppure (il preferito di Kartoo) telnettarsi sulla propria porta 12345 e vedere se il ci arrivano "messaggi di benvenuto" tipo "NetBus 1.6 x" ,sintomo che il nostro computer è infetto da NetBus (o ha il NetBuster installato)
Anche per il NetBus è buona norma controllare nel registry i file caricati all'avvio (HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run****) oppure in HKEY_CURRENT_USER\Patch\Settings\ServerPSW per controllare se è settata una password. ATTENZIONE!!! Spesso il NetBus si mette al posto del file SysEdit.exe quindi se notate che questo file viene caricato all'avvio provate ad aprirlo e in caso non partisse è probabile che sia il server del NetBus!!

-=Master's Paradise=-
Molti non conoscono questa backdoors scritta da Dan Lehman (altro hacker?),distruttiva quanto le altre.Dovete fare particolare attenzione al gioco "Pie Bill Gates" che spesso contiene il suddetto trojan ,che và a sostituirsi al file SYSEDIT.EXE di Windows. Oltre a consigliarvi di scaricare un buon Cleaner, posso solo dirvi di controllare i programmi caricati all'avvio (HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run*****) e se notate un file sospetto. fate un bel controllo approfondito

-=Trojan Ballinae=-
Nuovissima backdoors che vi infetta automaticamente durante l'installazione dello script Menoka4.x quindi se siete fra i "Fortunati" possessori del suddetto script òeggete di seguito....
Il sistema viene infettato e nella directory windows/System viene aggiunto un file di circa 400Kb di nome CONDDSK.EXE con l'icona di un file sconosciuto di windows (foglio bianco con la finestrella).Se provate a chiamarlo manualmente dà un errore nel modulo "sconosciuto".Per capire se si è infettati è sufficente guardare il registro di configurazione all'indirizzo HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
(chiamate REGEDIT da esegui) e qui trovarete una stringa di nome CONDDSK che chiama il file di cui sopra.
Il Trojan usa la porta 1240 TCP e si connette alla 80 di un sito con IP 194.88.143.143 Se provate a connettervi con il Telnet a voi stessi sulla 1240 il prompt sarà "Ballinae FTP Server Ready"
-=Come Disinfettarsi=-
Inutile che fate scansioni con il votro antivirus poichè non viene ancora riconosciuto nemmeno dall'AVP.L'unica possibilità è cancellare la chiave del registry indicata sopra e successivamente cancellare il file CONDDSK.EXE dopo aver terminato il processo con un opportuno programma o prima riavviando (poichè il file è attivo non sarà possibile cancellarlo).

Altri consigli che vi possiamo dare è quello di munirvi di un AntiVirus aggiornato una firewall e stare allerta a ciò che vi mandano.

( preso dalla rete )