O Back Orifice (BO) é um programa que permite a manipulação de computadores remotamente, permitindo que você apague, grave ou copie arquivos via Internet. Esse programa consiste em duas partes: o cliente e o servidor, e foi criado por um grupo de hackers com um só propósito: invadir máquinas alheias. Com o Back Orifice instalado em sua máquina, qualquer hacker que use o Back Orifice pode manipular o seu disco rígido, apagando dados.
Para que o Back Orifice funcione, o usuário precisa instalá-lo em sua máquina. Não há como um hacker invadir a sua máquina se você não tiver o Back Orifice instalado. Mas qual usuário, em sã consciência, instalaria esse programa? Nenhum. Por esse motivo, a maneira mais usual do usuário instalar o programa é através de um "Cavalo de Tróia", ou seja, um programa que possui o Back Orifice "embutido". Os Cavalos de Tróia mais comum são programas que dizem ser anti-vírus especiais para o Back Orifice mas que, na verdade, são o Back Orifice em pessoa! Por esse motivo, é muito importante que você não baixe da Internet programas desse tipo, nem aceite arquivos suspeitos por e-mail. Da mesma forma, muito cuidado ao baixar programas de páginas amadoras, pois há a chance de haver um Back Orifice escondido no programa.
Para nossa sorte, praticamente todos os programas anti-vírus mais recentes detectam o Back Orifice. De qualquer forma, veremos a seguir como detectar e eliminar o Back Orifice em máquinas "contaminadas".
O Back Orifice é executado como um serviço do Windows, ficando, dessa forma, "escondido" na memória RAM. Mesmo você pressionando as teclas Ctrl + Alt + Del ele não aparecerá listado na lista de tarefas do Windows. Entretanto, você pode utilizar o utilitário WinTop, que é parte do pacote PowerToys. Você pode baixar o PowerToys inteiro no site da Microsoft ou somente o WinTop em http://asgard.actrix.co.nz/windows/
win32/misc/win_top.exe. Esse programa permite que você veja todos os serviços que estão sendo executados. Na Figura 1 você observa um micro infectado com o Back Orifice. Ele é listado com o nome ".EXE" e localizado em C:windowssystem.
clique para ampliar
Figura 1: Micro infectado com o Back Orifice.
Outra forma de você descobrir se o seu micro está ou não infectado com o Back Orifice é entrando o seguinte comando:
Dir c:windowssystemexe*.* /a
Se aparecer listado um arquivo chamado EXE~1, o micro está contaminado.
Para apagar o Back Orifice, dê um boot no prompt do DOS (pressione a tecla F8 durante o boot e escolha a opção "Somente Prompt" do menu que aparecerá). Em seguida, basta entrar com os seguintes comandos:
Attrib c:windowssystemexe~1 -r -a -s -h
Del c:windowssystemexe~1
Agradecemos ao leitor Galvani Cavalcante pelas dicas enviadas.
