O que é o Back Orifice?

O Back Orifice, é um aplicatico cliente/servidor apenas para Windows 95 e 98, que permite ao cliente monitorar e administrar a máquina rodando o servidor.

Quem são os servidores e quem são os clientes?

Na grande maioria dos casos, a versão servidora é rodada em uma máquina por simples descuido. Pois, acredito, que ninguém gostaria de disponibilizar seus arquivos pessoais para algumas milhares de pessoas no mundo. Como o programa Back Orifice vem compactado, contendo além de alguns utilitários, as versões cliente e servidor. O usuário pode executar a versão errada (servidor), tudo isso por não ter lido ou entendido as instruções. Mas lembramos que, quem está rodando o servidor do Back Orifice, pelo menos, tentou rodar a versão cliente para, talvez, divertir-se com a máquina dos outros. E acabou tornando a si próprio, o brinquedo dos outros. Cada vez que você ligar o seu micro, o servidor se inicia sem que ninguém perceba. Ele funciona como um pano de fundo e não deixa nenhum rastro. O servidor do Back Orifice pode vir encoberto por um outro arquivo qualquer, e ao ser executado se instala na sua máquina, sem nenhum sinal. E uma vez rodando, o faz de uma forma que torna difícil a sua detecção. Permite ao administrador remoto tomar o controle de seu sistema: roubar suas senhas, enviar ou receber arquivos, rodar novas aplicações, observar e derrubar qualquer aplicação que você esteja rodando, e outas coisas, e sem o seu conhecimento ou consentimento.

Como posso me proteger ?

Esse programa foi espalhado pela Internet, e vem causando dor de para muita gente. Ele permite que pessoas acessem o seu computador, e descubram suas senhas, peguem seus arquivos, enfim, tenham total domínio do seu micro.Existe alguns programas que já foram desenvolvidos para detectar e remover o BO, disponibilizo aqui dois deles :

• O primeiro é o BoDetect_StandAlone , que é na verdade um programa que localiza os arquivos do BO no seu Micro e permite você o remova;

• O segundo é o Protetor do BO (Nova Versão p/ Windows95), É só baixar esses arquivos e executá-los.

Existe também o NOBO, que é um programa que fica monitorando a porta 31337 (porta de ataque do BO) e impede sua progressão no seu PC...é só baixar o arquivo e executá-lo, ele fica na barra de tarefas. Você pode configurá-lo para responder ao ataque.

O NOBO é um programa que detecta tentativas de uso do Back Orifice (BO) no seu computador com Windows 95/98.Ele abre a porta do Back Orifice e fica esperando pacotes TCP/IP vindos de clientes BO. Quanto algum pacote é recebido, o NOBO registra a informação, com dados do remetente (endereço IP e nome da máquina), podendo ignorar o pacote ou mesmo responder com uma mensagem padrão. Toda atividade -- todo pacote do BO recebido -- pode ser gravada em um arquivo para referência e registro.

O que o NOBO não faz ?

O NOBO não elimina o Back Orifice.Apesar do BO não conseguir entrar em ação se tentar ouvir na porta que o NOBO esteja instalado, é possível ele entrar em ação em outra porta.

Como saber se o (bo) está na minha maquina ?

• Para localizar o software, o texto recomenda que se clique em Iniciar, escolha a opção Executar e digite "command /k netstat -n" (sem as aspas). Uma janela DOS se abrirá e mostrará quais portas estão abertas. O BO constuma abrir a porta 31.337, mas qualquer porta acima de 3.000 aberta é indício de invasão.

• Clique em Iniciar, Localizar, Arquivos e Pastas. Depois, escolher a opção Avançado e, no campo Contendo Texto, digitar "bofilemapping". Qualquer arquivo encontrado contém um Cavalo deTróia com o programa e deve ser imediatamente apagado.

• Abra uma janela Dos e digite no prompt a seguinte linha de comando , sem os colchetes: [netstat -an | find "31337"] Atenção para o caracter "|" não se trata da letra "I" , mas do que , na maioria dos teclados , fica junto com o caracter de barra invertida , o "\". se ele não acusar nada e lhe devolver o prompt frio, sem reações , então tudo bem: seu micro esta limpinho .

Detalhes

O pacote bo.zip contém:

• bo.txt - este documento.
• plugin.txt - a ajuda para programação de plugin.
• boserve.exe - o auto-instalador do Back Orifice (BO).
• bogui.exe - o cliente modo gráfico (GUI) do Back Orifice.
• boclient.exe - o cliente modo texto do Back Orifice.
• boconfig.exe - utilitário de configuração de nome do executável, porta,

senha e plugins do servidor BO.

• melt.exe - descompacta arquivos compactados com o comando "freeze".
• freeze.exe - compacta arquivos que podem ser descompactados com o

comando "melt".

Manual

Como vc encontrará uma máquina rodando o servidor do Back Orifice ?

Você pode encontrar de duas formas. A 1ª é digitando o endereço de uma sub-rede na pequena caixa no canto superior esquerdo. Ex: 195.219.222.* e pressionando ENTER. Isto faz com q o Back Orifice procure por todos os endereços IP do 195.219.222.0 até o 195.219.222.255!!!

Você pode tambem , abrir o Notepad e criar uma lista de sub-redes, salvá-la no mesmo diretório do Bogui.exe e então, pressionar o botão PING no canto inferior esquerdo da janela. Agora digite o nome do arquivo que você criou na caixa de texto que surgirá. O BO q irá então, buscar todas as sub-redes do arquivo. Como ficarei sabendo que o BO encontrou uma máquina rodando o servidor ? Quando o Back Orifice detectar uma máquina rodando o servidor, ele irá mostrar uma mensagem como esta: Que significa: "Pacote recebido do host (endereço IP dp servidor) 195.130.131.69 porta 31337". "PONG, significa a resposta ao seu comando PING. O número 1.20 indica a versão do servidor Back Orifice e o nome DEFAULT, é o nome do computador-servidor". Digite o endereço IP completo, encontrado na mesma caixa de texto superior esquerda para começar a executar os comandos. Outra boa forma de encontrar endereços IP, é no mIRC, através do comando /whois "nick".

Comandos

Clique aqui para ver os Comandos.

Dicas

Preste atenção, o BO trabalha da seguinte forma, você deve forçar a vítima a rodar um programinha chamado boserve.exe (que depois de executado se auto remove), e isso, sabemos que está cada vez mais difícil, pois sabemos que todos estão cada vez mais espertos com programas baixados pela Internet. Então, o jeito é fazer a vítima rodar algo que realmente não demonstre nada de estranho, ou seja, um programa executável utilitário ou uma aplicação em vb qualquer, só que com o boserve.exe embutido nele, para tanto, existe um utilitário que permite você inserir o código do boserve.exe em um executável (existe algumas restrições para tipos de executáveis), esse aplicativo chama-se : SilkRope 2.0, onde deve-se em primeiro lugar unzipar esse arquivo e ler os txt´s.