Ein sehr gefährliches Remote Administration Tool, welches es dem Eindringling ermöglicht, mit Ihrem Computer alles Beliebige zu machen. Dieses Tool hat eine riesige Anzahl an gefährlichen und nervtötenden Fähigkeiten und hinterlässt das Opfer komplett ungeschützt und desorientiert. Es wurde von einer Gruppe erstellt, die sich selbst „Der Kult der toten Kuh“ nennen. Es wurde in der Programmiersprache C++ geschrieben. Varianten erschienen von Juli 1995 bis Juli 2004. Einige Versionen inkludieren Funktionen wie „Entführer“, „Passwort-Eroberung“, „Keylogger“ etc.
Vom Hersteller:
„… ermöglicht der Client Software, die Maschine, die den Server betreibt, zu beobachten, zu verwalten und andere Netzwerk- und Multimedia-Handlungen durchzuführen. Um mit dem Server zu kommunizieren, kann entweder der textbasierte oder der GBO-Client auf jeder Microsoft Windows Maschine betrieben werden.
Für die Installation muss der Server einfach ausgeführt werden. Wenn die Serverausführung gestartet wird, installiert sie das Programm von selbst und löscht sich danach selbst. Das ist nützlich für Netzwerk-Umgebungen, in welchen der Server auf einer Maschine installiert werden kann, indem einfach die ausführbare Server-Datei in das Startup-Verzeichnis kopiert wird, wo es installiert und dann entfernt wird. Sobald der Server auf einer Maschine installiert ist, wird er bei jedem neustart der Maschine gestartet.
Um eine laufende Kopie von Back Orifice per Fernwartung zu aktualisieren, laden Sie einfach die neue Version des Servers auf den Remote Hoste und verwenden Sie den Prozess Spawn Befehl, um sie auszuführen. Wenn der Prozess gestartet wurde, wird der Server automatisch alle Programme abbrechen, welche als die Datei laufen, als die er sich installieren möchten, installiert sich selbst über die alte Version, startet sich selbst von seiner installierten Position aus und löscht die aktualisierte exe, die Sie gerade ausgeführt haben. Vor der Installation können mehrere Aspekte des Servers konfiguriert werden. Der Dateiname, unter dem sich Back Orifice installiert, der Port, den der Server abhört und das Passwort für die Verschlüsselung können mit der boconf.exe Funktion konfiguriert werden. Falls der Server nicht konfiguriert ist, hört er automatisch den Port 31337 ab, verwendet kein Passwort für die Verschlüsselung (Pakete sind dennoch verschlüsselt) und installiert sich selbst als “ .exe“ (Leerzeichen Punkt exe).
Der Client kommuniziert mit dem Server über verschlüsselte UDP-Pakete. Für eine erfolgreiche Kommunikation muss der Client an denselben Port senden, den der Server abhört und das Client-Passwort muss mit dem Verschlüsselungs-Passwort übereinstimmen, mit dem der Server konfiguriert wurde. Der Port, von dem der Client seine Pakete sendet, kann eingestellt werden, dass er die -p Option mit den GBO- und Text-Clients verwendet. Falls Pakete gefilteret werden oder eine Firewall aktiviert ist, kann es notwendig sein, von einem spezifischen Port zu senden, der nicht gefiltert oder blockiert wird. Da die UDP-Kommunikation verbindungslos funktioniert, könnten die Pakete auf entweder auf ihrem Weg zum Server blockiert werden, oder die zurückkehrenden Pakete können auf ihrem Weg zurück zum Client blockiert werden.
Die Handlungen werden auf dem Server durchgeführt, indem Befehle zum Client an eine spezifische IP-Adresse gesendet werden. Falls die Server-Maschine keine statische Adresse ist, kann sie lokalisiert werden, indem die Sweep- oder Sweeplist-Befehle des Text-Clients oder des GBP-Clients durch den „Ping…“ Dialog oder durch die Eingabe einer Ziel-IP von „1.2.3.*“ verwendet werden. Wenn eine Servermaschine antwortet, sieht der Client beim Sweeping einer Liste von Subnets in denselben Verzeichnissen nach wie die Subnet-Liste und zeigt eine die erste Linie der ersten Datei an, die es mit dem Dateinamen oder dem Subnet findet.
Die Befehle, die aktuell in Back Orifice vorhanden sind, sehen Sie unten stehend. Einige der Namen der Befehle unterscheiden sich zwischen den GBO- und Text-Clients, doch die Syntax ist dieselbe für fast alle Befehle. Mehr Informationen über einen Befehl kann im Text Client angezeigt werden, indem Sie „Hilfe Befehl“ eingeben“. Die GBO setzt das Etikett der beiden Parameterfelder mit einer Beschreibung der Argumente fest, die jeder Befehl akzeptiert, wenn dieser Befehl von der „Befehlsliste“ ausgewählt wird. Wenn eine benötigte Information nicht durch den Befehl geliefert wird, antwortet der Server mit dem Fehler „Fehlende Daten“.
Die Funktionen des Trojaners sind:
Startet eine textbasierte Anwendung auf einem TCP-Port.
Hindert eine Anwendung daran, Verbindungen abzuhören.
Listet die Anwendungen auf, die aktuell Verbindungen abzuhören.
Erstellt ein Verzeichnis. Listet Dateien und Verzeichnis. Sie müssen eine Wildcard festlegen, wenn Sie mehr als eine Datei listen möchten. Entfernt ein Verzeichnis.
Erstellt einen Export auf dem Server. Löscht einen Export.
Listet aktuelle geteilte Ressourcen (Name, Festplatte, Zugang, Passwort).
Kopiert eine Datei.
Löscht eine Datei.
Durchsucht einen Verzeichnisbaum nach Dateien, die den Vorgaben einer Wildcard entsprechen.
Komprimiert eine Datei. Dekomprimiert eine Datei.
Sieht die Inhalte einer Textdatei ein.
Deaktiviert den http-Server. Aktiviert den http-Server.
Registriert Tastenanschläge auf der Server-Maschine in einer Textdatei. Beendet die Registrierung der Tastatur. Um die Registrierung der Tastatur mit dem Text-Client zu beenden, verwenden Sie „Keylog Stop“.
Fängt Video und Audio (falls verfügbar) von einem Video-Eingabegerät mit einer AVI-Datei ein.
Fängt einen Frame eines Videos von einem Video-Eingabegerät in einer Bitmap-Datei ein.
Fängt ein Bild des Bildschirms der Servermaschine mit einer Bitmap-Datei ein.
Listet Video-Eingabegeräte auf.
Spielt eine WAV-Datei auf der Server-Maschine ab.
Listet aktuelle eingehende und ausgehende Netzwerk-Verbindungen auf.
Trennt die Server-Maschine von einer Netzwerk-Ressource. Verbindet die Server-Maschine mit einer Netzwerk-Ressource.
Sieht alle Netzwerk-Schnittstellen, Domains, Server und exportiert Gesehenes von der Server-Maschine.
Pingt die Host-Maschine.
Bringt den Maschinennamen und die BO-Versionsnummer zurück.
Führt ein Back Orifice Plugin auf. Befiehlt einem bestimmten Plugin, sich abzuschalten. Listet aktive Plugins oder den Return-Wert eines Plugins, das ausgestiegen ist.
Beendet einen Prozess. Listet laufende Prozesse auf. Führt ein Programm aus. Ansonsten wird es versteckt oder getrennt ausgeführt.
Leitet eingehende TCP-Verbindungen oder UDP-Pakete zu einer anderen IP-Adresse um. Stoppt eine Port-Weiterleitung.
Listet aktive Port-Weiterleitungen auf.
Erstellt einen Schlüssel im Register. Löscht einen Schlüssel aus dem Register. Löscht einen Wert aus dem Register. Listet die Unterschlüssel eines Registerschlüssels auf. Listet die Werte eines Registerschlüssels auf. Legt einen Wert für einen Registerschlüssel fest.
Beseitigt die IP-Adresse eines Maschiennamens betreffend die Server-Maschine.
Erstellt eine Dialogbox auf der Server-Maschine mit dem gelieferten Text und einem „OK“ Button.
Zeit Systeminformationen auf der Server-Maschine an.
Verschließt die Server-Maschine.
Zeigt gecachte Passwörter des aktuellen Benutzers und das Bildschirmschoner-Passwort an.
Fährt die Server-Maschine herunter und startet sie neu.
Verbindet die Server-Maschine und speichert die empfangenen Daten dieser Verbindung in der angegebenen Datei. Verbindet die Server-Maschine und sendet die Inhalte der angegebenen Datei, loggt sich dann aus.“
Programme zur automatischen Entfernung von Malware
(Win)
Hinweis: Spyhunter findet Parasiten wie Back Orifice und hilft Ihnen dabei, diese kostenlos zu entfernen. limitierte Testversion verfügbar, Terms of use, Privacy Policy, Uninstall Instructions,
(Mac)
Hinweis: Combo Cleaner findet Parasiten wie Back Orifice und hilft Ihnen dabei, diese kostenlos zu entfernen. limitierte Testversion verfügbar,