1001 Gefahr
Tückische Verwandte
Die Netninja-Truppe stellte schon früh nach Veröffentlichung von BO die ersten Plug-ins vor, die auch als C-Quelltext zugänglich sind. Alle nutzen eine Schnittstelle von BO, um beliebige zusätzliche Funktionen in den Servercode einzubetten. Damit wird BO zum Erfüllungsgehilfen selbst geheimster Hakkerwünsche. Ein nach Angaben des Netninja-Programmierers "Brian Enigma" erster schneller Hack war "Saran Wrap".
Saran Wrap
Enigma dachte lange darüber nach, wie ein unbedarfter Anwender den Trojaner erstmals aufruft und wie sich aus der lauernden Gefahr eine ernste Bedrohung entwickeln könne. Dabei verfiel er auf folgende Strategie: Ein Trägerprogramm packt den BO-Server in eine unscheinbare Hülse, die sich als harmloses Programm in offizieller Mission präsentiert, etwa als Setup-Programm, Spiel oder Tool; der gefoppte Anwender installiert diesen "Wirt" auf seinem Computer, ohne zu ahnen, daß er sich dabei auch noch einen "Parasiten" einhandelt.
Konkret: Saran Wrap führt, als Setup-Programm getarnt, den als "DATA1.Z" maskierten Trojaner und das als "DATA2.Z" verkleidete, vom Anwender eigentlich gewünschte Programm nacheinander aus. Beide erwecken einen gleichermaßen harmlosen Eindruck, und niemand vermutet hinter DATA1.Z den listigen Trojaner. Nach erfolgter Installation löscht Saran Wrap den veränderten Initialcode und ersetzt ihn durch den nicht manipulierten Ursprungscode. So scheint nach außen hin alles in bester Ordnung.
Silk Rope V 2.0
Bereits Mitte August stand mit "Silk Rope" eine verbesserte Variante von Saran Wrap zum Download bereit. Das Plug-in baut den Wirt und den Parasiten in eine einzige Datei ein, die dann noch einfacher zu übertragen und zu installieren ist. Obendrein verschlüsselt Silk Rope auch noch den BO-Code und erschwert so den Virenwächtern die Arbeit. Nach dem Aufruf des Kombipakets liest Silk Rope den eigenen Code von der Festplatte, extrahiert und entschlüsselt ihn und legt ihn ausführbereit in einer temporären Datei ab. Diese wird aufgerufen, installiert BO und infiziert so das System. Erst danach startet das eigentliche Programm.
Butt Trumpet V 1.1
Das nächste Tool, "Butt Trumpet", hat die einfache aber wirkungsvolle Aufgabe, den Hacker via E-Mail über die IP-Adressen potentieller Opfer zu informieren. Der Angreifer kann dabei seine Identität verbergen, indem er auf anonyme Remailer-Systeme zurückgreift oder kostenlose E-Mail-Dienste wie Hotmail in Anspruch nimmt.
Nach einer festgestellten BO-Ansteckung versucht Butt Trumpet alle fünf Minuten, die für den Hacker so unentbehrlichen Daten per E-Mail abzuschikken. Falls es gelingt, hat das Plug-in seine Schuldigkeit getan und stellt alle weiteren Versuche ein für allemal ein. Daß die Meldung bereits losgeschickt wurde, erkennen Butt Trumpet und sicherheitsbewußte Anwender an einem Registry-Eintrag:
HKEY_LOCAL_MACHINE\Software\\\NinjaSoft\\BT