关于Back Orifice的问答

----1.什么是Back Orifice（下称BO）?

----BO是基于Windows 95和Windows98的特洛伊木马型黑客攻击程序，由一个称为"The Cult of the Dead Cow"的黑客组织制作。它由SERVER和GUI（用户图形接口）两部分组成。

----Server部分是实际驻留在用户计算机上的特洛伊木马程序，它能相当容易地在用户计算机上驻留，往往在用户下载文件后不知不觉的将它安装它。GUI是一个很精致的遥控程序。它能控制被Server感染的计算机的注册表,Internet 连接,文件和文件夹等等。一般来说，被SERVER感染的计算机上能直接执行的任何事情，在有GUI端的远程的用户都能执行。

----2.为什么BO很危险?

----BO的GUI用户和坐在远程终端前直接操作计算机系统的用户有同样的访问权。被SERVER端特洛伊木马程序感染的计算机系统数据很容易被窃取和修改本地数据。在系统上的任何口令,无论是否由Windows控制，还是保存在一个文件中，都能在不知不觉中被远程用户了解。并且远程用户可以接管本地计算机的控制权，甚至可以使本地计算机重新启动。

----3.那些系统容易被BO感染?

----目前连接INTERNET的WINDOWS95和WINDOWS98最容易被BO感染。NETWARE和WINDOWS NT（包括NT SERVER和WORKSTATION）还不会被感染。

----4.BO通过什么途径传播?

----严格地讲，目前BO是一个黑客程序，而不属于病毒，因为它不进行自我复制和自行传播。一般BO通过INTETNET上下载的程序或电子邮件中的ATTACHMENT可执行文件到达用 户的计算机，文件一旦被执行，特洛伊木马程序就会以一个.EXE的进程的形式驻留内存，同时修改系统注册表。同时，在每次系统启动时自动进入内存。远程黑客就能与本地机进行通信，并对本地机进行攻击。

----注意，并不是所有的BO都以.EXE的进程驻留内存，如果攻击本地机的黑客事先对SERVER段的特洛伊木马程序作了配置，则可能以其他的名字出现。

----5.如何防BO?

----（1）应对可能与INTERNET进行联网通信的计算机进行严格控制，妥善保管重要数据，防止被窃取。

----（2）不要轻易使用网上下载的文件或莫名其妙发来的电子邮件中的执行文件。

----（3）将与INTERNET进行联网的计算机与本地网络进行隔离。

----（4）由于目前BO很流行，从8月3日至今The Cult of the Dead Cow的WEB站点上的BO下载超过25万次，因此不能排除周围的黑客入侵。所以，要严格控制外来程序进入本地网络。

----6.如何查杀BO?

----目前，信源公司的LANVRV防病毒软件已出版了可清除BO的新版本，不日可交付使用。