1. Descrição

O grupo hacker norte-americano auto-intitulado Cult of Dead Cow lancou, no dia 21/08, o programa "Back Orifice", em alusão ao programa "Back Office" da Microsoft, que clama ser um Remote Server Control, ou seja, que se possa controlar uma maquina rodando o sistema operacional Windows 95/98 remotamente instalando a interface de recepção do próprio "Back Orifice". Principais características:

- O programa tem entre 20 à 24 kb;
- O programa se auto deleta após a execução;
- Instalacao obscura e mudança de registros;
- O ícone do BO é vazio (não tem nada)

A partir destas características, pode-se inferir que o "Back Orifice" age como um verdadeiro backdoor para windows, instalando-se automaticamente na maquina do usuário e deixando o sistema pronto para conexões remotas com o cliente do "Back Orifice". Apesar de todo esta polemica por trás deste lançamento, o "Back Orifice" so ira afetar as maquinas que realmente executarem o programa de auto-instalação (que certamente vira em forma de um trojan). Pede-se, portanto, que os usuarios de Windows possa ter cautela em receber e executar arquivos de estranhos, ou arquivos que possam ser baixados em sites obscuros pela Internet.

2. Comprometimento

A maquina que estiver com o sistema "Back Orifice" instalado poderá ser totalmente controlada remotamente, com a possibilidade de execução de processos, controle do file system, controle de rede e controle dos processos da maquina. É possivel, ainda, logar todas as teclas digitadas da maquina para um arquivo, comprometendo acessos a sites seguros (cartão de credito, homebanking, etc).

3. Verificando a vulnerabilidade

1) Porta 31337 em listening (UDP) *default*

No prompt do dos, digite:
C:\>netstat -na udp 0 0 0.0.0.0:31337

Se alguma das linhas mostrarem a porta 31337 (udp) em listening, certamente o backdoor default foi instalado. Atenção, isto pode ser facilmente modificado para outra porta.

2) Serviços estranhos ao sistema Acesse o programa regedit.exe. Acesse o registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices Procure por serviços que não foram intencionalmente instalados ou que possam despertar alguma suspeita. A configuração *default* sugere um servico com nome ".exe". Procure por esta entrada.

3) Existência do arquivo C:\windows\system\windll.dll O "BackOrifice" cria o arquivo C:\windows\system\windll.dll no C:\windows\system utilizando a data da versão do seu Windows, que geralmente eh 11/07/98.

A existência deste arquivo pode caracterizar uma maquina comprometida.

4) Verifique os arquivos no seu \window\system Suspeite de arquivos com entradas de aproximadamente 124 kbytes.

5) Suspeite de comportamentos incomuns ao sistema - Maquina rebootando instantaneamente sem que você tenha desligado. - Trafego de rede (ocupacao de banda) enquanto voce realmente não esteja usando a rede. - Utilização de maquina excessiva: utilização de disco sem que você esteja realmente acessando o disco. - Arquivos incomuns ao sistema. - Programas fechando instantaneamente sem que você os tenha fechado.

4. Livrando-se do BackOrifice

Para remover totalmente o "BackOrifice", remova o registro e apague o arquivo server. Se possível, faça um backup de todos os dados, formate a maquina e instale novamente o sistema. Esteja consciente que informações importantes podem ter sido capturadas, desde senhas para acessos a serviços online até senhas de homebanking. Considere trocar, se possível, todas estas informações.

5. Medidas Preventivas

Como já fora acima mencionado, o backdoor criado pelo "BackOrifice" so podera ser instalado em sua maquina se você *realmente* rodar o auto-instalador. Isto implica em ser coerente com os executaveis baixados pela internet (sites obscuros e nao oficiais) e com programas que os desconhecidos/amigos insistem que você execute. Recuse as ofertas de programas para "fixar" o problema do "BackOrifice", pois isto não é um, na verdade, um problema com o sistema, mas uma questão de persuasão.

Outra dica importante para se passar a quem foi infelizmente infectado pelo Back Oriffice, é seguir o seguinte passo:

Desligue o computador e escolha a opção reiniciar pelo MS-DOS.
Digite :
cd\
cd windows
cd system
Daí digite:
dir e* tecle enter
Vai aparecer uma relação de arquivos. Se tiver um exe~1 com 124.928 delete-o, este é o arquivo
Digite o seguinte comando:
deltree exe~1 vai perguntar se deseja mesmo fazer isto , confirme. Pronto. Para confirmar se foi realmente executado, digite novamente dir e* tecle enter se não tiver mais o arquivo, deu tudo certo.

Nota: Pelo Windows você não conseguirá deletar o arquivo.