BACK ORIFICE : Un gruppo di hacker noti come Il culto della mucca morta (cDc, cult of the dead cow) ha rilasciato per Window 95 e 98 un programma di backdoor chiamato Back Orifice (orifizio posteriore, un evidente riferimento anatomico). Bo lascia tracce della propria presenza e può essere rilevato e rimosso. Bo è un backdoor progettato per Windows 95 e 98. Una volta installato permette a chiunque di prendere il controllo di una macchina, purché ne conosca l'indirizzo Ip, la porta da ascoltare e la parola di accesso di Bo. Gli intrusi possono accedere al server di Bo usando una interfaccia testuale per Unix o un client grafico per Windows. Il server di Bo permette che gli intrusi eseguano comandi, leggano i file archiviati, lancino servizi silenziosi, eseguano trasferimenti di file da e verso la vostra macchina, maneggino il registry, avviino e fermino i processi ed altre porcherie, il tutto a vostra insaputa. Bo una volta installato sul pc esegue le seguenti operazioni : Modifica il registro di sistema di Windows in maniera tale da entrare in esecuzione automatica (e ovviamente nascosta) ad ogni avvio; si riserva una porta di comunicazione (normalmente 31337); si mette in "LISTENING" ossia in attesa dei comandi da parte del vostro simpatico hacker !

NETBUS : NetBus è stato disponibile per molto tempo ma il suo uso come strumento di hacking è più recente. Diversamente da Bo, NetBus funziona su Windows 95, Windows 98 e NT. NetBus, consente a un utente remoto, tramite un semplice pannello di controllo, di svolgere le stesse funzioni di Bo e altre ancora. Tra queste l'apertura del microfono del vostro Pc e l'ascolto di cosa state dicendo, o più semplicemente l'apertura e chiusura del cassetto del lettore Cd-Rom.

BACK ORIFICE : Effettuate il seguente comando DOS , subito dopo l'avvio del pc : NETSTAT -NA Tutte le porte in "LISTENING" indicano un servizio in ascolto su una determinata porta ed i valori > 1024 possono indicare la presenza di un backdoor. Come si è detto prima Bo utilizza la porta 31337 ma ciò non è sempre detto, in quanto spesso l'hacker che ha lo ha configurato prima che voi lo scarichiate ha modificato questo e altri parametri. Quindi come determinare se Bo è stato installato sulla vostra macchina? Eseguite il programma Regedit (c:\windows\regedit.exe) e leggete il contenuto delle chiavi HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunServices HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunservicesOnce . Cercate se esistono file che potrebbero non essere stati caricati intenzionalmente da voi o da uno dei programmi che avete installato. Se ne trovate uno lungo circa 124.928 byte, 30 byte in più o in meno, probabilmente avete trovato Back Orifice. A questo punto se siete sicuri di aver individuato il trojan eliminate senza pietà la chiave ed il programma ad esso collegato. (è consigliabile prima della modifica del registro di effettuarne una copia).

NETBUS :NetBus usa Tcp per la comunicazione e usa sempre le porte 12345 e 12346 per ascoltare. NETSTAT vi dira se NetBus è installato. A questo punto eseguite telnet collegando localhost (127.0.0.1) sulla porta 12345. Se NetBus è installato sarà visualizzata una stringa simile a "NetBus 1.53" o "NetBus 1.60". Il protocollo di NetBus non è cifrato e i comandi hanno un formato semplice: nome del comando, seguito da un punto e virgola, seguito dagli argomenti separati da punto e virgola. Esistono due modi per rimuovere NetBus, a seconda della versione installata. Per le versioni 1.5x, le istruzioni per rimuovere NetBus sono situate sul sito members.spree.com/NetBus/remove_1.html. Per la versione 1,6, la rimozione è più semplice e potete seguire le istruzioni su members.spree.com/NetBus/remove_2.Html. E' possibile altrimenti connettersi in telnet sul vosto Pc, porta 12345, e digitare i comandi: Password;1; [INVIO] RemoveServer;1 [INVIO] Verrete disconnessi e NetBus sarà disabilitato. Poi cancellate Patch.Exe in C:\Windows\System.