发信人: williamlong()
整理人: emil(1999-09-07 21:39:58), 站内信件
|
BACK ORIFICE 初探
作者:范征宇
大家可能都听说过BACK ORIFICE的大名,但是真正了解它的人可
能并不多,甚至有一次某个朋友神秘西西的跟我说:“嘿,我昨天中
了BACK OFFICE的毒了!”。后来我真还碰到不少BACK OFFICE、BACK
ORIFICE不分的人了。现在我可说清楚了啊,今天我们说的是BACK
ORIFICE——那个著名FOR WINDOWS的黑客软件,而不是BACK OFFICE
——微软的服务器操作系统。
BACK ORIFICE(以下简称BO)说白了不能算一种真正意义上的病
毒,因为它并无自我复制的能力,也不会自我传播。开发BO的黑客组
织Cult of the dead cow宣称BO是一种系统管理软件,这确实也没有
错,只是作为一种管理软件,它太隐蔽了,所以更多时候BO是被一些
心怀叵测的人当作入侵工具来使用。
BO最新版本BO2000已经在网上发布,它能更简便地让“系统管理
员”完成管理“工作站”的工作。当BO被恶意使用时,入侵者和被入
侵电脑就是这里所谓的“系统管理员”和“工作站”,而所谓管理,
就是执行包括阅读文档、获得密码、删除文件甚至格式化硬盘在内的
一切一切。
BO可以被装扮成其它软件(比如改个名README。EXE),并从
EMAIL里发送,这样就很容易让初学者试着运行它,而运行完毕后(这
用不了一秒钟,在用户看来,这个README。EXE似乎没有运行过),
BO不会给出任何提示,但却已偷偷地将自己安装到了用户的计算机内
。此后,当用户再次连入Internet,(或局域网)BO的恶意发送者就
能开始控制你的计算机了。其中关键问题在与WINDOWS95以上系统本身
就被设计成一种网络化的操作系统,并允许通过网络的远程管理,而
BO正是在用户不知不觉中实现了这功能。
不想谈太多如何运用BO去袭击别人的电脑,因为这里不是黑客教
程,我只想谈谈如何防止BO的入侵,如何检验BO的存在以及被入侵后
该怎么办。
防止BO说容易确实很容易,只要一句话就行:别运行来路不明的
程序。但要做到这点却不简单了,就算笔者也会偶尔忘了这一点。比
如某个刚涉及网络不久的同事给我寄来一个EXE文件,我认为同事不
会害我,便去运行了,但很可能这同事也不知道此EXE文件就是BO。
而检验BO的方法是查看注册表(在开始——》运行中键入regedit
)。查看Local Machion -> Software ->Microsoft -> Windows ->
currentversion -> Run。如果BO在你的系统上安装过,则其中肯定会
出现BO的注册项。当然更有效的方法是使用升级过的有“特洛依木马
”检测功能的杀毒软件来查找,并去除BO。
如果您发现BO确实寄生在您的电脑中,那可以去下载一个名字为
BODECTECT的程序来去除BO,笔者一时忘记了此程序的下载地址,应
该DOWNLOAD。COM这类大型的下载站点都会有。
我们下期会继续就BO2000的新功能做进一步介绍,希望有兴趣的
朋友也给我们来信一起研究。
--
☆ 蓝色月光 ☆ [email protected]
※ 来源:.月光软件站 http://www.moon-soft.com.[FROM: 202.96.142.60]
|
|