受影响的系统
Windows 95/98
描述
 Back Orifice，这个程序是由一名叫Cult of the Dead Cow(CDC)的黑客组开发的。它允许未授权
的用户在被感染的机器上执行一些特权操作。作者声称，BO可以截止Registry数据库中的一些关键点，
使通过搜索Registry证实BO的存在变得困难。

 这个后门程序专为Widnows 95/98而设计，它是一个典型的客户/服务器结构的应用程序。当在某一台
机器上安装后，这个机器成为BO服务器，允许知道端口号(缺省端口为UDP的31337号端口)和BO口令的
人远程控制这个机器。他可以远程执行命令，列目录，启动服务进程，设置共享目录，上载或下载文
件，操作Registry数据库，终止进程，输出进程列表，等等。

 该程序使用用户数据报协议(UDP)进行服务器与客户机之间的加密通讯。其加密方式是先把口令生成两
个字节的码，然后用这个码作为加密钥匙。所有客户请求包的头8个字节都使用一相同的字符串：
"*!*QWTY?"。 X-Force 已找到方法证实BO是否存在的证据。检查Registry数据库中的下列值：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

 看一下是否有新的服务已被安装。如果某个服务所对应的文件大小约为124,928字节左右，那么它很可
能就是BO。使用一些网络监听软件，监听UDP端口31337(缺省端口，可以被安装者指定为任意值)，是
否有一些网络Traffic发生。

解决方法
Symatec Antivirus的病毒扫描器可以检测到BO客户和服务器。用户可下载最新的定义文件，来更新
病毒扫描器。详细信息见于Symantec的站点。

Internet Security Systems (ISS)公布了一套方法，可以从被感染的机器上，手工删除BO服务
器。