作者:范征宇
大家可能都听说过BACK ORIFICE的大名,但是真正了解它的人可能并不多,甚至有一次某个朋友神秘西西的跟我说:“嘿,我昨天中了BACK OFFICE的毒了!”。后来我真还碰到不少BACK OFFICE、BACK
ORIFICE不分的人了。现在我可说清楚了啊,今天我们说的是BACK ORIFICE——那个著名FOR WINDOWS的黑客软件,而不是BACK OFFICE
——微软的服务器操作系统。
BACK ORIFICE(以下简称BO)说白了不能算一种真正意义上的病毒,因为它并无自我复制的能力,也不会自我传播。开发BO的黑客组织Cult of the dead cow宣称BO是一种系统管理软件,这确实也没有错,只是作为一种管理软件,它太隐蔽了,所以更多时候BO是被一些心怀叵测的人当作入侵工具来使用。
BO最新版本BO2000已经在网上发布,它能更简便地让“系统管理员”完成管理“工作站”的工作。BO被恶意使用时,入侵者和被入侵电脑就是这里所谓的“系统管理员”和“工作站”,而所谓管理,就是执行包括阅读文档、获得密码、删除文件甚至格式化硬盘在内的一切一切。
BO可以被装扮成其它软件(比如改个名README。EXE),并从EMAIL里发送,这样就很容易让初学者试着运行它,而运行完毕后(这用不了一秒钟,在用户看来,这个README。EXE似乎没有运行过), BO不会给出任何提示,但却已偷偷地将自己安装到了用户的计算机内 。此后,当用户再次连入Internet,(或局域网)BO的恶意发送者就 能开始控制你的计算机了。其中关键问题在与WINDOWS95以上系统本身 就被设计成一种网络化的操作系统,并允许通过网络的远程管理,而 BO正是在用户不知不觉中实现了这功能。
不想谈太多如何运用BO去袭击别人的电脑,因为这里不是黑客教程,我只想谈谈如何防止BO的入侵,如何检验BO的存在以及被入侵后该怎么办。
防止BO说容易确实很容易,只要一句话就行:别运行来路不明的程序。但要做到这点却不简单了,就算笔者也会偶尔忘了这一点。比如某个刚涉及网络不久的同事给我寄来一个EXE文件,我认为同事不会害我,便去运行了,但很可能这同事也不知道此EXE文件就是BO。
而检验BO的方法是查看注册表(在开始——》运行中键入regedit )。查看Local Machion -> Software ->Microsoft -> Windows -> currentversion -> Run。如果BO在你的系统上安装过,则其中肯定会出现BO的注册项。当然更有效的方法是使用升级过的有“特洛依木马”检测功能的杀毒软件来查找,并去除BO。
如果您发现BO确实寄生在您的电脑中,那可以去下载一个名字为BODECTECT的程序来去除BO,笔者一时忘记了此程序的下载地址,应该DOWNLOAD。COM这类大型的下载站点都会有。
我们下期会继续就BO2000的新功能做进一步介绍,希望有兴趣的朋友也给我们来信一起研究。