E' un programma cosiddetto trojan, che permette intrusioni indesiderate
nel proprio computer. BO e' l'acronimo di Back Orifice.
Esso si compone di un client e di un server, quest'ultimo dev'essere
installato sul computer della vittima, dopodiche' il client permette
al "buon samaritano" che lo possiede, e a chiunque abbia il client
installato, di compiere varie operazioni sul computer "boservizzato"
(viene indicato in questo modo un computer che abbia installato il
server). Le operazioni possono essere le piu' svariate, dal
trasferimento di file all'esecuzione di programmi, alla lettura di
informazioni contenute nei dischi (fissi, cd-rom, zip, ...).
Da notare che esso funziona perfettamente sia
sotto Windows 95 che sotto Windows 98, mentre non se ne conosce ancora
una versione per Windows NT.
il BO
e' un potentissimo
strumento, che se usato in maniera giusta, puo' pilotare
completamente un'altro pc, a migliaia di km di distanza,
risolvendo non sapete quanti guai.
La cosa fondamentale da capire su questo tipo di backdoors,
e' che il programma per funzionare, per dare completo accesso
al pc ospite, deve essere INSTALLATO sul medesimo.
Infatti questi programmi si dividono in un SERVER ed in un CLIENT.
Il SERVER e' il pezzo di programma che va' mandato sul pc ospite,
e che funzionerà solo nel momento che sarà mandato in esecuzione.
Esempio di funzionamento:
X manda ad Y un file (deve essere un .exe,
tutti i file che non sono eseguibili non possono contenere il server...
attenzione però anche ai file .dll, .inf ecc.)
Y salva il file sull'HD e non lo esegue:
Y non e' stato infettato.
Se Y, felice di aver ricevuto un programma che gli e' stato
proposto come la risoluzione di tutti i suoi problemi,
lo manda in esecuzione, X dopo pochi secondi
potra' fare cio che vuole sul pc di Y.
Y ha preso il server da X,
ma non sa' che e' un server, il programma che ha scaricato,
gira perfettamente e adempie a tutti i suoi doveri,
il server e' del tutto invisibile ad un utente che non
abbia un minimo di preparzione su questo.
Ora una cosa va' detta, il bo server e' configurabile, cioè
posso decidere di "boservizzare"
un mio amico, che si presta, fidandosi, a farmi sperimentare le innumerevoli
potenzialita' del BO, configurandolo, cioè
immettendo una password di accesso e cambiando la porta
su cui mettere in ascolto il server.
Il boserve
si mette in ascolto (per default) sulla porta 31337.
Rimozione del BO
Bo
usa una funzione dell'API di Windows che serve a nascondere il processo
che la chiama. "Nascondere" vuol dire appunto che non si vede nella
taskbar ne' nella finestra che appare premendo CTRL-ALT-DEL. Mentre si
e' in linea, aprite una finestra DOS e lanciate il comando netstat -na.
Questo mostrera' tutte le connessioni attive in quel momento
(aggiungere un numero per specificare un controllo periodico ogni
secondi): se fra esse ce n'e' una sulla porta 31337, e' lui!
Questo non esaurisce l'argomento, dato che la porta e' configurabile e
quindi puo' essere cambiata da chi tenta di introdursi nelle macchine
altrui. Naturalmente l'infame puo' decidere di manifestarsi apertamente,
con messaggi pop-up, e in tal caso non c'e' dubbio. Un programma utile
al controllo e' AVP System Watcher (http://www.avp.it, freeware), che
controlla il sistema alla ricerca di BO.
Antigen è un altro programma per eliminare il Boserve nella forma di
default. In ogni caso, anche se il Boserve che vi siete ritrovati
sull'HD ha nome e porta di comunicazione differenti, Antigen non
riesce a rimuoverlo ma vi rivela comunque la sua presenza e lo
disattiva sino al seguente reboot (non riesce a cancellare l'exe del
BO in versione non default e la seguente chiamata dal registro di Win).
Si può rimuovere anche a mano: cercare e cancellare il file " .exe" (
il nome del file è spazio-punto-exe) e windll.dll. Il primo e' il server
vero e proprio. Cercare comunque la stringa "bofilemap" nell'hard
disk e' piu' sicuro, dato che il nome del server puo' essere variato.
Andare nel Registro di Windows alle chiavi
dove sono i programmi lanciati all'avvio. Cancellare da tale chiave
qualunque cosa non sia di "sicura" provenienza (Barra di Office,
antivirus, demone ICQ, ...). Controllare anche
