一、BO的组成及其运作方式 BO是Back Orifice 的缩写,它是一个服务器/客户端应用程序,允许客户端程序监控、管理运行了服务器程序的主机。它由以下几部分组成: 1.BO的配置程序Boconfig.exe; 2.BO的服务器端程序Boserve.exe; 3.BO的文本客户端程序Boclient .exe、图形客户端程序Bogui.exe; 4.BO的文件压缩和反压缩程序freeze.exe、melt.exe。 利用配置程序Boconfig.exe,***可以对服务器端程序Boserve.exe进行配置工作。配置工作包括:服务器端程序在目标机上的名字(如不设置扩展名,配置程序不会自动加扩展名);在目标机注册表中为BO增加子键的名字;服务器程序倾听网上请求的端口号;网上服务器和客户端通信信息加密的口令;定义可自行加入的Plug-In 模块(有利于使用BO的***再加入另行编辑的***模块);定义在服务器启动时加入系统的文件。 如果不对服务器端程序进行配置就运行,服务器将在31337端口以“.exe”的形式以明文方式与客户端通信。 首先BO诱使用户下载含有BO服务器端程序的页面,并运行之。它会把自身运行起来,把可执行文件放在Wind ows的System目录下,删除自身程序,并在注册表“HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion \Runservices”中为可执行程序增加子键,从而机器每次启动就会把BO运行起来。***利用客户端程序与服务器通信,从而达到在客户端远程控制目标机。 二、BO程序的危害性 目前BO服务器程序可以运行在Windows 95/98环境下,客户端程序可以运行在Windows 95 /98/NT环境下。因此BO***程序只对Microsoft公司的产品具有威胁性,UNIX操作系统的用户不用担心 BO问题。 ***通过BO客户端程序通常可以完成下列操作: 1. 阻止用户通信程序进行通信工作; 2. 增加、删除磁盘目录和文件; 3. 增加、删除共享目录而不显示共享的“手”标志及列出用户共享目录的密码; 4. 对文件进行压缩和反压缩处理; 5. 禁止目标机的WWW服务; 6. 监控目标机键盘操作; 7. 获取目标机的多媒体输入信息; 8. 监控目标机的网络通信; 9. 列出目标机中Plug-In的信息及BO的版本号; 10. 显示和删除目标机中进程; 11. 显示、删除、增加注册表信息; 12. 列出目标机的系统信息,如机器名、用户名、机器型号等; 13. 列出缓存中用户注册密码、屏幕保护密码; 14. 对系统锁定及重启机器。 综上所述,BO具有很严重的破坏性,一旦怀有恶意的***者在用户机器上运行了BO服务器,那么用户的机器可以说完全在***者的掌握中。因此,时刻警惕机器是否运行了BO很有必要。 三、验证机器上是否有BO及删除BO 机器中是否有BO***程序,在机器尚未遭到***的的情况下,很难判断,因为BO服务器程序名字不定。有兴趣的用户可以通过在注册表中察看可疑项,在“HKEY_LOCAL_MACHINE\SOFTWARE\Microsof t \Windows\CurrentVersion\Runservices"中假如有名字陌生的项,并且在Win dows的System目录下能找到相应的应用程序,其大小是122kB或者稍微大一点,极大的可能就是BO程序。因为在注册表的上述位置放置的是开机自启动的应用程序,BO服务器程序本身是124995字节,假如***者进行了配置,则配置部分放在服务器程序的结尾,读者如有兴趣可用PCTools或者Ultraedit等二进制查看文件在BO服务器程序的结尾看到配置信息。 若想彻底删除BO,则需要手工在注册表中删掉自启动项,在硬盘上Windows的System目录下删掉可执行文件,并且重新启动计算机。 当然普通用户也可借助于一些软件工具进行预防和删除,有兴趣的朋友可与本中心(E-mail: wsj@er cist. iscas.ac.cn)联系,本中心可以免费提供有关的一些软件工具。 随着计算机网络技术和应用的发展,计算机病毒和***程序也出现在网络世界中,在当今的信息时代,只有更加重视信息安全和对抗技术的研究和发展,我们的网络信息世界才能在和平、安全的环境下有序地共享资源,以及便捷、快速地联络通信。