El Back Orifice (BO) es un programa que se está presentando en muchas partes. Ya mencioné algo sobre él en un artículo anterior, pero tal vez sea bueno que usted tenga en cuenta también estos datos.
BO es un programa que permite que alguien controle su computadora en forma remota. Existen muchos programas que hacen esto. Pero el problema con el BO es que el mismo puede hacerlo sin su conocimiento.
Con el BO alguien puede acceder a todas los datos guardados en su computadora, tarjetas de crédito, historial de ICQ, notas de IRC, su e-mail (incluyendo los mensajes recibidos y enviados y aún los borrados).
Pueden conseguir todas las contraseñas de sus sitios ftp, webs y claves de acceso a Internet. Si usted está conectado en una red local, pueden entrar en todas las computadoras y modificar lo que deseen, copiar archivos de ellas, subir programas, o lo que es peor, destruir algo.
Un hacker puede incluso guardar todas las teclas pulsadas por usted. De este modo, aun cuando no guarde sus contraseñas en algún archivo, al escribirlas en el teclado las estará divulgando. Y también el hacker puede saber lo que usted está viendo en este momento en su pantalla.
Pero claro, para que el BO actúe en su computadora, usted debe ejecutarlo antes, de algún modo.
Ahora bien, tal vez usted no sepa que el BO está presentándose de muchas formas, y entonces ese inocente programa que acaba de ejecutar, sea un BO.
Tal vez un simpático mensaje ejecutable recibido por e-mail, o aun un link a un sitio Web, podría ejecutar una aplicación Java que cargara el archivo en su sistema.
Y el mayor problema, es que existen ya diversas versiones de este programa. Y lo que es peor, programas que deberían descubrirlo, no lo hacen.
El Back Orifice fue creado en agosto por el grupo de hackers "El Culto de la Vaca Muerta". Surgieron entonces antivirus que lo detectaban y anulaban. Nosotros mismos recomendamos algunos de ellos.
Al poco tiempo aparecieron también algunos programas específicos que también lo detectaban. El Back Orifice Eliminator (BOE) de Bardon Data Sistem’s es uno de ellos. Y el BOE no solo lo detecta, sino que previene los ataques del BO.
Pero este programa, como otro similar (pero que solo lo detecta, no previene un ataque), fallaba debido a una característica del propio BO, una utilidad de configuración que permite a los hackers cambiar algunos parámetros de la configuración del servidor del Back Orifice (el programa que se ejecuta en nuestra máquina), y definir que programas se ejecutan. Algo simple. En otras palabras, estos programas que decían detectar el BO, funcionaban muy bien si se usaban los valores por defecto del BO. De lo contrario, fallaban.
Pero Bardon sacó ahora una nueva versión del Back Orifice Eliminator, la 1.02, que resolvió ese problema. La misma puede bajarse de esta dirección : http://www.bardon.com , y es gratuita.
Allí, usted también podrá inscribirse en una lista de correo para que le avisen si hay cambios.
Sin embargo, a pesar de todo esto, probablemente pase algún tiempo antes de que podamos sentirnos seguros. Más que nunca estar actualizados en materia de antivirus es vital. Los antivirus que dicen protegernos del BO funcionan. Pero deben ser actualizados apenas salga una nueva versión. De todos modos, la mayoría son eficaces antes de que el BO se instale. De modo que revisar todo archivo recibido o bajado, con dos o tres de esos antivirus es fundamental.
Si no está muy seguro de tener o no el BO en su sistema, usted puede intentar varias cosas para descubrirlo. Una de ellas es ingresar esta orden desde una ventana de MS-DOS. Teclee simplemente: netstat -n
La dirección por defecto del BO es 31377. Con la orden netstat -n verá las conexiones activas en su computadora, si está conectado a Internet o a otra máquina vía TCP/IP.
En donde está su dirección local, se muestra el puerto desde donde se conecta. Si no aparece un 30000 puede estar todo bien.
Otra de las cosas que también puede probar es ir a Inicio / Buscar / Archivos y Carpetas, y escribir "bofilemapping" (sin las comillas) en el campo "Con el texto" (en "Avanzadas" si usa Windows 95, en "Nombre y ubicación" si tiene Windows 98). Cualquier coincidencia que usted encuentre puede tener el trojan BO. Y si el archivo que lo contiene está en el directorio \windows\system, probablemente lo está ejecutando.
Otra prueba: ejecute Regedit (desde Inicio / Ejecutar) y vaya a esta clave:
HKEY_LOCAL_MACHINE | SOFTWARE | Microsoft | Windows | CurrentVersion
Verifique allí si en la carpeta "Run" o "RunOnce" hay algún archivo windll.dll, que es el nombre predefinido de la versión original del BO, o hello.abc.
Si no aparece, esto no le da una seguridad total, porque alguien muy diestro, podría ver si usted está revisando esto y cambiar algunas cosas. Sin embargo, no es mala idea darle un vistazo.
Inevitablemente, el "Culto De La Vaca Muerta" desarrollará actualizaciones del Back Orifice. Mantenerse al día en materia de antivirus, o tener la última versión del Back Orifice Eliminator (BOE) desde http://www.bardon.com , es algo que debería tener muy en cuenta.