Defendendo-se do Back Orifice e Defendendo-se do NETBUS

BOShield Detecta, elimina, ou desabilita o "Trojan" do Back Orifice de sua máquina, inclusive se o Back Orifice voltar a ser instalado posteriormente.

Antigen Elimina o "Trojan" do Back Orifice de sua máquina.

NOBO Protege sua máquina do Back Orifice Logando os eventos de quem tenta invadir seu computador.

1 - O que é Back Orifice?
O "Back Orifice" (BO) é um programa de controle remoto de microcomputadores para Windows 95/98.
Com o BO instalado em uma máquina, qualquer pessoa com um cliente BO e que saiba a senha do servidor pode se conectar à máquina em questão e efetuar diversas operações.
Com o BO tem-se muito mais controle sobre uma máquina Windows do que se se estiver no teclado.
O BO é um ótimo programa, muito bem feito e útil. No entanto, devido à facilidade de transmissão (é apenas um pequeno executável) e de instalação (que é automática), muita gente tem o usado para o mal.
Ele pode ser facilmente escondido em um programa e enviado para outra pessoa via e-mail ou cópia simples -- basta esta pessoa executar o programa que o servidor BO é instalado, e a máquina torna-se potencialmente vulnerável.
Atualmente, o BO vem sendo distribuido sem senha alguma, o que permite a qualquer pessoa tomar controle de uma máquina infectada.

Principais caracteristicas:
- O programa tem entre 20 e 124 kb;
- O programa se auto deleta após a execução;
- Instalação obscura e mudança de registros;
- O ícone do BO é vazio (não tem nada).

A partir destas características, pode-se inferir que o "Back Orifice" age como um verdadeiro backdoor para windows, instalando-se automaticamente na máquina do usuário e deixando o sistema pronto para conexões remotas com o cliente do "Back Orifice".
Apesar de toda esta polêmica por tras deste lançamento, o "Back Orifice" só irá afetar as máquinas que realmente executarem o programa de auto-instalação (que certamente virá em forma de um trojan).
Pede-se, portanto, que os usuários de Windows passem a ter cautela em receber e executar arquivos de estranhos, ou arquivos que possam ser baixados em sites obscuros pela Internet.

2 - Em que isso compromete o sistema?
A máquina que estiver com o sistema "Back Orifice" instalado podera ser totalmente controlada remotamente, com a possibilidade de execução de processos, controle do file system, controle de rede e controle dos processos da máquina, inclusive desligar o computador remotamente.
É possivel, ainda, logar todas as teclas digitadas da máquina para um arquivo, comprometendo acessos a sites seguros (cartão de crédito, homebanking, etc).

Verificando a vulnerabilidade
1- Porta 31337 em listening (UDP) *default* No prompt do MS-DOS, digite: C:\>netstat -na Se alguma das linhas mostrarem a porta 31337 (udp) em listening, certamente o backdoor default foi instalado. Atenção, isto pode ser facilmente modificado para outra porta.
2 - Serviços estranhos ao sistema Acesse o programa regedit.exe.
Acesse o registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

Procure por serviços que não foram intencionalmente instalados ou que possam despertar alguma suspeita.
A configuracao *default* sugere um serviço com nome ".exe". Procure por esta entrada.
3 - Existência do arquivo \windows\system\windll.dll o "BackOrifice" cria o arquivo \windows\system\windll.dll no \windows\system utilizando a data da versao do seu Windows, que geralmente é 11/07/98. A existência deste arquivo pode caracterizar uma máquina comprometida.
4 - Verifique os arquivos no seu \window\system suspeite de arquivos com entradas de aproximadamente 124 kbytes.
5 - Suspeite de comportamentos incomuns ao sistema - Máquina rebootando instantâneamente sem que você tenha desligado. - Trafego de rede (ocupação de banda) enquanto você realmente não esteja usando a rede. - Utilização de máquina excessiva: utilização de disco sem que você esteja realmente acessando o disco. - Arquivos incomuns ao sistema. - Programas fechando instantâneamente sem que você os tenha fechado.

Livrando-se do Back Orifice.

Para remover totalmente o "Back Orifice", remova o registro e apague o arquivo server.
Se possível, faça um backup de todos os dados, formate a máquina e instale novamente o sistema.
Esteja consciente que informações importantes podem ter sido capturadas, desde senhas para acessos a serviços online até senhas de homebanking.
Considere trocar, se possível, todas estas informações.

Medidas Preventivas.

Como já fora acima mencionado, o backdoor criado pelo "BackOrifice" so poderá ser instalado em sua máquina se você *realmente* rodar o auto-instalador.
Isto implica em ser coerente com os executáveis baixados pela internet (sites obscuros e não oficiais) e com programas que os desconhecidos ou amigos insistem que você execute.
Recuse as ofertas de programas para "fixar" o problema do "Back Orifice", pois isto não é na verdade, um problema com o sistema, mas uma questão de persuasão. Outra dica importante para se passar a quem foi infelizmente infectado pelo "Back Oriffice", é seguir o seguinte passo.
1 - Reinicialize o computador
2 - Após a contagem da memoria aperte F8, de forma que apareça o menu de opções.
3 - Selecione a opção "Somente prompt" (aos que forem práticos, um boot via disquete também serve)
4 - Entre no diretório \Windows\System
5 - De um DIR EXE*. (assim mesmo, com ponto no final)
6 - Aqui provavelmente aparecerá um arquivo com o nome EXE~1. com um tamanho de 124Kb. Dê um DEL neste arquivo. Apague também o arquivo WINDLL.DLL
7 - Reinicialize a máquina
8 - Com o Windows carregado, chame o programa \Windows\Regedit
9 - Vá em:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\RunServices

10 - Veja se alguma entrada como: Nome ==> (Padrão) Dados ==> ".exe"
11 - Remova essa entrada. OBS.: Pelo Windows você não conseguirá deletar o arquivo.

O que é o NOBO? O NOBO é um programa que detecta tentativas de uso do Back Orifice (BO) no seu computador com Windows 95/98. Ele abre a porta do Back Orifice e fica esperando pacotes TCP/IP vindos de clientes BO.
Quanto algum pacote é recebido, o NOBO registra a informação, com dados do remetente (endereço IP e nome da máquina), podendo ignorar o pacote ou mesmo responder com uma mensagem padrão.
Toda atividade -- todo pacote do BO recebido -- pode ser gravada em um arquivo para referência e registro.
Faça o seu download agora mesmo, é um programa de fácil instalação, após instalado, para saber se alguém está tentando algo em seu computador, basta clicar no ícone vermelho que fica na barra do windows ao lado do relógio.

O que o NOBO não faz?
O NOBO não elimina o Back Orifice.
Existem programas específicos para a eliminação do BO.
Para a eliminação do Back Orifice é necessária a utilização de um outro programa chamado Antigen ou então o BOShield que detecta e desabilita o BO a cada vez que este tentar se instalar em sua máquina (é o mais completo)
O NOBO não impede que o BO entre em ação. Apesar do BO não conseguir entrar em ação se tentar ouvir na porta que o NOBO esteja instalado, é possível ele entrar em ação em outra porta.