一、BO的組成及其運作方式 BO是Back Orifice 的縮寫,它是一個服務器/客戶端應用程序,允許客戶端程序監控、管理運行了服務器程序的主機。它由以下幾部分組成: 1.BO的配置程序Boconfig.exe; 2.BO的服務器端程序Boserve.exe; 3.BO的文本客戶端程序Boclient .exe、圖形客戶端程序Bogui.exe; 4.BO的文件壓縮和反壓縮程序freeze.exe、melt.exe。 利用配置程序Boconfig.exe,***可以對服務器端程序Boserve.exe進行配置工作。配置工作包括:服務器端程序在目標機上的名字(如不設置擴展名,配置程序不會自動加擴展名);在目標機註冊表中爲BO增加子鍵的名字;服務器程序傾聽網上請求的端口號;網上服務器和客戶端通信信息加密的口令;定義可自行加入的Plug-In 模塊(有利於使用BO的***再加入另行編輯的***模塊);定義在服務器啓動時加入系統的文件。 如果不對服務器端程序進行配置就運行,服務器將在31337端口以“.exe”的形式以明文方式與客戶端通信。 首先BO誘使用戶下載含有BO服務器端程序的頁面,並運行之。它會把自身運行起來,把可執行文件放在Wind ows的System目錄下,刪除自身程序,並在註冊表“HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion \Runservices”中爲可執行程序增加子鍵,從而機器每次啓動就會把BO運行起來。***利用客戶端程序與服務器通信,從而達到在客戶端遠程控制目標機。 二、BO程序的危害性 目前BO服務器程序可以運行在Windows 95/98環境下,客戶端程序可以運行在Windows 95 /98/NT環境下。因此BO***程序只對Microsoft公司的產品具有威脅性,UNIX操作系統的用戶不用擔心 BO問題。 ***通過BO客戶端程序通常可以完成下列操作: 1. 阻止用戶通信程序進行通信工作; 2. 增加、刪除磁盤目錄和文件; 3. 增加、刪除共享目錄而不顯示共享的“手”標誌及列出用戶共享目錄的密碼; 4. 對文件進行壓縮和反壓縮處理; 5. 禁止目標機的WWW服務; 6. 監控目標機鍵盤操作; 7. 獲取目標機的多媒體輸入信息; 8. 監控目標機的網絡通信; 9. 列出目標機中Plug-In的信息及BO的版本號; 10. 顯示和刪除目標機中進程; 11. 顯示、刪除、增加註冊表信息; 12. 列出目標機的系統信息,如機器名、用戶名、機器型號等; 13. 列出緩存中用戶註冊密碼、屏幕保護密碼; 14. 對系統鎖定及重啓機器。 綜上所述,BO具有很嚴重的破壞性,一旦懷有惡意的***者在用戶機器上運行了BO服務器,那麼用戶的機器可以說完全在***者的掌握中。因此,時刻警惕機器是否運行了BO很有必要。 三、驗證機器上是否有BO及刪除BO 機器中是否有BO***程序,在機器尚未遭到***的的情況下,很難判斷,因爲BO服務器程序名字不定。有興趣的用戶可以通過在註冊表中察看可疑項,在“HKEY_LOCAL_MACHINE\SOFTWARE\Microsof t \Windows\CurrentVersion\Runservices"中假如有名字陌生的項,並且在Win dows的System目錄下能找到相應的應用程序,其大小是122kB或者稍微大一點,極大的可能就是BO程序。因爲在註冊表的上述位置放置的是開機自啓動的應用程序,BO服務器程序本身是124995字節,假如***者進行了配置,則配置部分放在服務器程序的結尾,讀者如有興趣可用PCTools或者Ultraedit等二進制查看文件在BO服務器程序的結尾看到配置信息。 若想徹底刪除BO,則需要手工在註冊表中刪掉自啓動項,在硬盤上Windows的System目錄下刪掉可執行文件,並且重新啓動計算機。 當然普通用戶也可藉助於一些軟件工具進行預防和刪除,有興趣的朋友可與本中心(E-mail: wsj@er cist. iscas.ac.cn)聯繫,本中心可以免費提供有關的一些軟件工具。 隨着計算機網絡技術和應用的發展,計算機病毒和***程序也出現在網絡世界中,在當今的信息時代,只有更加重視信息安全和對抗技術的研究和發展,我們的網絡信息世界才能在和平、安全的環境下有序地共享資源,以及便捷、快速地聯絡通信。