Untitled

1. Back Orifice 란 무엇인가 ?

cDc(Cult Dead Cow)라는 단체에서 만든 프로그램으로
Server 프로그램과 Client 프로그램으로 구성되어 있으며
인스톨한후 client에서 Server(Windows 95/98)를 제어할수 있다.

2. 어느정도 까지 제어가 가능한가?

다음과 같은 작업들을 할수있습니다.

Application 추가/삭제/리스트보기
Directory 추가/삭제/리스트보기
File 복사/삭제/찾기/압축/해제/보기
HTTP서버 시작/멈춤
Keyboard 입력에 대한 로그가능
Play sound
Network 연결 추가/삭제/보기
Ping Host
Process 실행/멈춤/보기
Registry 수정
Resolve Host
System 정보보기/lock걸기/리부팅
File 송수신
기타

3. Back Orifice를 사용할때 문제가 되는것은 무엇인가?

Back Orifice는 바이러스가 아니며, 리모트에서 원격제어를
하기위한 프로그램이다.

하지만, 하나의 파일만 실행되면 인스톨이 가능하기 때문에
다른 실행파일에 덧붙여 실행이 가능하며 이 경우 리모트에서
서버의 허락없이 위와 같은 작업이 가능하기 때문에 문제가
될수 있다.

그러므로, 외부에서 다운받은 파일 또는 메일로 온 파일은
바이러스및 Back Orifice가 추가되어 있을수도 있으므로
실행을 할때 확인을 해봐야 한다.

4. Back Orifice가 인스톨되었는지 확인하는 방법은 ?

BO v1.20은 여러개의 파일로 구성이 되어있으며, 그중 boserve.exe라는
하나의 파일만 실행시키면 간단하게 서버로 인스톨이 된다.

실행후에는 boserve.exe가 자동적으로 지워지게되고, 화면아래의
상태바에도 실행상태가 나타나지 않고 레지스트리와 시스템폴더
(/windows/system)에만 파일이 남게된다.

레지스트리 에서 확인
1) 시작 -> 실행 -> regedit 실행
2) HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/
CurrentVersion/RunServices 로 이동
3) 오른쪽 창에 데이터가 ".exe"로 나와있다.

시스템 폴더 에서 확인
1) /windows/system/windll.dll 파일이 있다

5. 어떻게 삭제해야 하는가 ?

사용자가 원해서 인스톨이 된경우가 아닐경우 삭제를 해야하는데
이때 다음의 프로그램을 이용하면 된다.

1) BODetect 1.5 이용
파일을 다운받아 임의의 디렉토리에 압축을 푼후 BoDetect.exe만
실행시키면 자동적으로 검색을 해서 Back Orifice를 삭제할수
있습니다.

2) BOShield 이용
bs120.exe 하나의 파일이며 실행시키면 자동적으로 삭제됩니다.

위의 프로그램은 다음 사이트에서 다운받으실수 있습니다.

http://www.cs.nuri.net/ -> 고객의방 -> special 자료방 -> BODelete
( 위의 2개의 파일을 묶어서 압축시켜 놓았습니다. )
http://www.ozemail.com.au/~dwarren/backorifice/removal.html

6. 계속해서 사용하기 위해서는 어떻게 해야하는가 ?

Back Orifice 원래의 목적인 리모트액세스를 해킹의 염려없이 사용하기 위해 다음과 같은 설정을 해주면 됩니다.

1) Back Orifice의 압축을 푼다.
2) 도스창을 열고 압축을 푼 폴더에서 c:>boconfig.exe boserv.exe 라고
실행시킵니다.
3) boserv.exe 만 실행시키면 port 번호 31337, 패스워드 없이 설정이 되므로 boconfig를 이용해 패스워드를 설정합니다. 이경우 외부에서 연결시 패스워드를 알아야 액세스가 가능합니다.

* 참고 : Back Orifice안에 있는 텍스트문서참조 (bo.txt)

7. 참고사이트

1) http://www.ozemail.com.au/~dwarren/backorifice/index.html
2) http://www.iss.net/xforce/alerts/advise5.html