День народження BackOrifice
Троянський кінь BO (Back Orifice) по суті є досить потужною утилітою віддаленого адміністрування комп'ютерів у мережі. "Back Orifice є системою віддаленого адміністрування, яка дозволяє користувачеві контролювати комп'ютери за допомогою звичайної консолі або графічної оболонки.
Троянець поширюється як пакет із кількох програм та документації. Усі програми написані на C++ та компільовані Microsoft Visual C++. Всі програми мають формат Portable Executable та можуть виконуватися тільки в середовищі Win32.
Основною програмою в пакеті є BOSERVE.EXE (потім цей файл може бути виявлений під різними іменами) - це основна "серверна" компонента троянця, яка чекає на виклики від віддалених "клієнтів".
Другим файлом є BOCONFIG.EXE, що конфігурує "сервер" і дозволяє "прикріпити" BOSERVE.EXE до будь-яких інших файлів (як це роблять віруси). При запуску таких програм вірус "викушує" їх із зараженого файлу і запускає на виконання без будь-яких побічних ефектів.
У пакеті також є дві "клієнтські" утиліти (консоль і графічний інтерфейс), вони дозволяють "клієнту" керувати віддаленим "сервером". Ще дві програми є утилітами компресії/декомпресії файлів - вони використовуються для копіювання файлів з/на віддалений "сервер".
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices Потім троянець перехоплює один із сокетів Windows (за замовчуванням - сокет 31337) і залишається в пам'яті Windows як прихований додаток (тобто без активного вікна та посилання в списку додатків . Основна процедура перехоплення повідомлень потім чекає на команду від віддаленого клієнта. Сокети команди передаються у зашифрованому вигляді. Залежно від команди троянець виконує такі дії: надсилає імена комп'ютера, користувача та інформацію про систему: тип процесора, розмір пам'яті, версія системи, встановлені пристрої тощо; дозволяти віддалений доступ до дисків (share); шукає файл на дисках; посилає/приймає файл, знищує, копіює, перейменовує, виконує будь-який файл; створює/знищує каталог; запаковує/розпаковує файл; відключає поточного користувача від мережі; завішує комп'ютер; надсилає список активних процесів; вивантажує зазначений процес; підключається до мережевих ресурсів; отримує та відправляє кешовані паролі (які використовувалися користувачем протягом поточного сеансу), шукає пароль для ScreenSaver (розшифровує та відправляє); виводить MessageBox; читає/модифікує системний реєстр; відкриває/перенаправляє інші сокети TCP/IP; підтримує протокол HTTP та емулює Web-сервер (тобто троянцем можна керувати за допомогою броузера); програє звукові файли; перехоплює, запам'ятовує і потім надсилає рядки, що вводяться з клавіатури в момент під'єднання комп'ютера до мережі; і т.д. Троянець також дозволяє розширити список своїх функцій за допомогою ресурсів, що підключаються (plug-in). Вони можуть бути передані на "сервер" та інстальовані там як частина троянця і надалі можуть виконувати практично будь-які дії на ураженому комп'ютері.