venerdì 9 gennaio 2009

Cosa è Bo?

BO è acronimo di Back Orifice ed è un backdoor che consente intrusioni nei pc di utenti di Windows.
È un’applicazione composta da due parti. Una detta server, che va installata sul computer della vittima, l’altra detta client, che permette di gestire la vittima. Una volta installata sul pc della vittima, il Bo consente di esplorarne i dati, di manometterli, di eseguire programmi sul pc della vittima e molte altre cose simili. Ad esempio il Bo consente anche di conoscere le password digitate attraverso la tastiera. In pratica, BO consente di prendere il controllo della macchina infettata!!
Il Bo si trasmette generalmente attraverso un programma chiamato SilkRope, capace di ‘fondere’ due programmi. In tal modo il server Bo viene inserito all’interno di un altro programma apparentemente innocuo, che l’ignaro utente apre senza accorgersi dell’inganno. Ecco perché si parla di Cavallo di troia
Uno dei modi per capire se sul proprio pc è in esecuzione il server Bo è verificare, tramite il comando netstat-na da digitare nel prompt di dos, se tra tutte le connessioni attualmente aperte ce n’è una sulla porta 31337. In caso affermativo, siete infetti dal Bo. Non si tratta di un metodo sempre efficace, in quanto il Bo, opportunamente configurato, può operare su qualunque porta
Per eliminare il Bo dal proprio pc, bisogna monitorare i programmi lanciati all’avvio, aprendo il registro di sistema e cercando le chiavi:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce

Da qui bisogna cancellare le applicazioni sospette o comunque di natura poco chiara. Ma attenzione nel maneggiare il registro di sistema. Meglio fare sempre prima una copia di backup dell’originale, da poter ripristinare in caso di necessità.
Si può prevenire la contaminazione da Bo server utilizzando un antivirus aggiornato ed un buon firewall. Oppure…utilizzando Linux al posto di Windows

Back Orifice è uno dei più comuni programmi backdoor, e uno dei più micidiali. E’ un programma Open Source. Le principali minacce di questo software è che con alcune modifiche al codice chiunque può rendere impercettibili a anti virus programmi in esecuzione sul computer della vittima.