O texto abaixo foi retirado da pagina:
Para ver o artigo completo e fazer download visite a pagina original.
O Back Orifice (BO) é um pequeno programa de administração remota, ou seja, possibilita que o controle de um computador à distância.
O programa BO Server foi feito por um grupo denominado "Cult Of The Dead Cow" (cDc), tendo sido lançado em 21/08/98. O nome é uma sátira à suite de programas de escritório da Microsoft chamada Office. Recentemente foi lançada a segunda versão do programa (BO2k).
Praticamente abre toda a segurança de um computador, possibilitando que uma pessoa conectada à Internet tenha acesso total aos recursos de uma outra máquina.
Uma vez instalado, involuntariamente, em um computador, permite que qualquer usuário de posse do programa BO Client possa invadir aquela máquina sem o dono saber, enquanto estiver conectado à net e possa fazer qualquer coisa que o dono possa fazer localmente, por exemplo:
· Abrir aplicações para uso remoto por meio de telnet
· Criar / listar / deletar pastas
· Copiar / deletar / procurar / compactar / descompactar / ver arquivos
· Abrir / fechar servidor HTTP
· Logar pressionamento de teclas
· Permitir vários métodos para captura de tela (inclusive criação de .AVIs)
· Algumas funções de Rede (conexões ativas, por exemplo)
· Ping Host
· Listar / desligar / criar Process (Aplicativos)
· Várias funções no registro
· Abrir caixa de Dialogo (similar à de erro do Windows)
· Travar o computador
· Reiniciar (Rebootar) o computador
· Mostrar senhas (passwords) do sistema
· Mandar e receber arquivos por TCP
Como funciona o Back Orifice
Para mandar um pacote de Udp, é nescessário uma porta "aberta" no endereço do Usuário (IP). Aqui entra o BOSERVE.EXE, que é enviado disfarçado para um usuário. Com o BOSERVE instalado na máquina (basta executá-lo) o Cliente (o que mandou o server) só precisa digitar os comandos.
Ressalte-se que esse programa é um trojan e não um vírus, pois é necessário executá-lo para que ele se instale, sendo que o usuário o executa enganado, pensando que faz alguma outra ação.
O Back Orifice 1.2, como a maioria dos trojans abre somente a porta default, ou seja, seu padrão é invadir pela porta 31337.
Entretanto, o server do BO2000, como os trojans mais perigosos tem a opção de configurar o servidor, alterando a porta default, podendo ser configurado para abrir qualquer porta e dificultando a açao dos programas de proteção.
Note-se que o BO é uma aplicação "legal". Tecnicamente, seria um ótimo programa de monitoração remota, não fosse pelos seguintes detalhes:
- não avisar que está se instalando,
- não avisar quando está rodando e de
- não exigir senha para que aconteça o monitoramento remoto, deixando a máquina aberta para qualquer um, que possua o BO Client.
Principais características
- tamanho do executável do Servidor: 122k (124.928 bytes)
- se auto deleta após a execução
- o ícone do BO é vazio (transparente)
- funcionamento: pacotes de UDP O BO não é o único, nem o primeiro, nem o mais perigoso, nem o mais fácil de usar dentre os programas deste tipo. Há dezenas de programas, para os mesmos perigosos fins. O BO é apenas o mais popular destes programas, os quais são conhecidos genericamente como backdoors (programas para monitoração remota sem a autorização do usuário). Baseado em vários textos, inclusive de Daniel / CrAzY).
Remoção do BO com o uso de programas
Medidas gerais de prevenção
Há um conjunto de procedimentos gerais de prevenção contra vírus e outros programas maliciosos que sempre devem ser realizados (em qualquer computador, especialmente nos conectados à Internet).
Essas medidas podem ser resumidas assim:
1. Jamais executar um programa ou abrir um arquivo sem antes executar o antivírus sobre a pasta que o contenha.
2. Atualizar o seu antivírus constantemente (todas as semanas e até diariamente as empresas distribuem cópias gratuitas dos arquivos que atualizam a lista dos novos vírus e vacinas).
3. Desativar a opção de executar documentos diretamente do programa de correio eletrônico.
4. Jamais executar programas que não tenham sido obtidos de fontes absolutamente confiáveis.
Para fazer o download de algumas ferramentas para remover o BO visite a pagina de onde as informações foram retiradas:
Outras informações
http://lazaro.merchant.com.br/icq99/
http://ccc.unisinos.tche.br/users/c/charles/bo.htm
http://web.cip.com.br/nobo/
http://travel.to/psycho
http://www.bpiropo.com.br/tz980914.htm
http://lazaro.merchant.com.br/icq99/
http://ccc.unisinos.tche.br/users/c/charles/bo.htm
http://web.cip.com.br/nobo/
http://travel.to/psycho
http://www.bpiropo.com.br/tz980914.htm
Nenhum comentário:
Postar um comentário