Site hosted by Angelfire.com: Build your free website today!

Back Orifice

O programa "Back Orifice", é um Remote Server Control, ou seja, permite controlar uma maquina, rodando o sistema operacional Windows 95/98,remotamente instalando a interface de recepção do próprio "Back Orifice".
O programa tem entre 20 e 24 kb, se auto deleta após a execução e altera o registro do windows. O "Back Orifice" age como um backdoor para windows, instalando-se automaticamente na maquina do usuário e deixando o sistema pronto para conexões remotas com o cliente do "Back Orifice".
O arquivo de auto-instalação do Back Orifice, certamente vira em forma de um trojan(cavalo de tróia), ou seja, virá ocultado em arquivos de execução simples como aquelas famosas janelas engraçadas onde os botões fogem quando tentamos clicar nesles. Enquanto o usuário se diverte com a piada, o BO se auto-instala.
A máquina que estiver com o sistema "Back Orifice" instalado poderá ser controlada remotamente, com a possibilidade de execução de processos, controle do file system, controle de rede e controle dos processos da maquina. É possível ainda, logar todas as teclas digitadas da máquina para um arquivo, comprometendo acessos a sites seguros (cartao de credito, homebanking, etc).
Normalmente, o Back Orifice, abre a porta 31337. Para verificar se essa porta se encontra aberta em sua máquina, realiza o seguinte procedimento:

- No prompt do dos, digite: C:\>netstat -na
Aparecerá uma lista de portas usadas(estando vc on-line), se alguma das linhas mostrarem a porta 31337 (udp) em listening, certamente o backdoor default foi instalado.

- Para localizar o BO, faça o seguinte:
Acesse o programa regedit.exe ;
Acesse o registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\RunServices
Procure por serviços que não foram intencionalmente instalados ou que possam despertar alguma suspeita.
O "BackOrifice" cria o arquivo \windows\system\windll.dll no diretório \windows\system utilizando a data da versão do seu Windows.
Verifique os arquivos no seu diretório \window\system

- Para eliminar o Back Orifice, faça o seguinte:
Desligue o computador e escolha a opção reiniciar pelo MS-DOS.
Digite : cd \
cd windows
cd system
dir *.exe
 
Ao aparecer a relação de arquivos executaveis, procure por um que possua 124.928 bytes. Delete-o, pois este é o arquivo. Para deletá-lo use o comando deltree no dos: Ex: deltree ( nomearquivo.exe)
Um modo mais fácil de eliminar o BO de sua máquina, porém não tão eficaz, é utilizar o programa Antigen, uma espécie de "Anti-Vírus" para Back Orifice.

HackersBrasil