Considerações sobre o Back Orifice
O que é Back Orifice
O Back Orifice é um programa sacana de controle de micros à distância criado por uma tal seita da vaca morta (CDC), muito mais perigoso e funcional que o NetBus, que permite a quem souber usar pelo menos 30% de sua capacidade simplesmente "detonar" o seu micro, podendo com ele roubar senhas, arquivos, fechar programas, transferir, executar e deletar arquivos, apagar todo o conteúdo do HD, ou seja, faz uma tremenda farra no micro alvo.
Como ele é usado
Ele é divido em duas partes: o Server (servidor) e o Cliente (controlador). O Server precisa ser colocado no micro alvo, para que este possa ser acessado remotamente por outro micro, este de posse do Cliente. Um não pode ser usado sem o outro, ou seja, o Cliente só consegue se ligar a um micro se este estiver com o server instalado, e vice-versa. Uma vez instalado e de posse do endereço IP do micro alvo conectado à Internet, o Cliente tem controle total do micro servidor e pode fazer com ele o que quiser. De posse do cliente, o pretenso invasor faz uma varredura em determinados endereços IP até receber uma resposta do server instalado em algum micro infectado; apartir daí, ferrou.
Como se infectar
Existem várias maneiras de se infectar com o server do Back Orifice: o nome do arquivo de seu server na forma original é boserver.exe, possue aproximadamente 122Kb de tamanho e não possue ícone. Digo "na forma original" pois é comum colocar-se ícones e nomes inocentes neste arquivo para que ele seja executado sem preocupação pelas pesoas, que pensam que é um determinado programa dado por "amigos" via ICQ ou baixados da internet. Outra forma de infecção é que este arquivo pode ser mascarado dentro de outros arquivos, como por exemplo, arquivos de auto-extração com suporte a programas de instalação criados pelo WinZip (o WinZip é um excelente programa de compactação/descompactação de arquivos muito usado em todo o mundo e inclue um adendo para se criar arquivos de auto-extração para programas de instalação), arquivos que ganhamos de "amigos" que temos na rua, colégio, trabalho, etc. ou do ICQ (o mais usado programa de chat do mundo, com milhões de usuários, sendo que pelo menos 300.000 estão conectados em qualquer hora do dia ou da noite) e também por falta de tato de certas pessoas que, ao visitarem sites de hackers e se depararem com programas de invasão, acabam por executar arquivos que não devem antes de ler o que deve ser lido e terminam por se infectarem. Mas na maioria das vezes, são nossos "amigos" que nos dão esse "presente"... Ao se executar o server, este se coloca automaticamente no registro do Windows como um serviço (e não é detectável nem apertando ctrl+alt+del para se ver o que está aberto no task bar), apaga o seu programa instalador e cria um arquivo chamado WINDLL.DLL no system do Windows, deixando a porta 31337 aberta aos comandos do Cliente do Back Orifice.
Como se prevenir
Ter, antes de mais nada, as versões atualizadas de detectores de virus, como o Viruscan e o Norton , para detectarem o arquivo server do Back Orifice, mesmo que este venha camuflado ou renomeado para outros tipos de arquivos. Um adendo interessante é se usar detectores de Back Orifice, ou seja, programas que, ao serem executados, ficam "de olho" na tal porta 31337, acusando e barrando tentativas de invasão, indicando ao usuário a ação tentada e o endereço IP do pretenso invasor. Isso não quer dizer que, ao ser alertado de uma tentativa pelo detector, você esteja com o server no micro; todos os pacotes de comandos do Back Orifice só são reconhecidos por quem tiver o server instalado, e sem ele o BO não consegue fazer nada. Nesta página você encontrará para download um interessante programa de proteção contra o Back Orifice: ao ser executado, ele fica na barra de tarefas, ao lado do relógio, monitorando não só a 31337, mas outras portas também, à espera de pacotes do Back Orifice; uma vez detectado um pacote, você é avisado e automaticamente são mandados floods (comandos rápidos e curtos enviados à várias portas ao mesmo tempo à grande velocidade) que congelam o cliente do pretenso invasor, obrigando-o a fechar o programa e, dependendo da estabilidade do seu Sistema Operacional, até a reiniciar o computador, hehehe... Mas esse programa só é funcional se você tiver um micro rápido, pelo menos um Pentium 100Mhz com modem de pelo menos 28800bps.
Uma vez usando um anti-vírus atualizado (e, claro, habilitar o recurso de "shield" para continuar a detecção em underground), o risco de ser infectado por arquivos sacanas é mínimo, deixando seu micro muito mais seguro de se usar. Ao se usar o Viruscan, se você tiver o server no micro, poderá retirá-lo tranquilamente mesmo de dentro do Windows, já que o Back Orifice não é um vírus e sim um "back door". Para saber mais, vá ao site do O Globo e visite a área de Informática.
Clique abaixo para fazer o download do arquivo de atualização do Viruscan
