oder 98 ausgefhrt, klinkt sich der Server quasi unsichtbar im System ein. Von diesem Moment an wartet das trojanische Pferd nur noch darauf, ber das UDP-Protokoll geweckt zu werden. Mit dem Client lat sich bequem auf den befallen Rechner zugreifen. Unter anderem kann man das Dateisystem manipulieren (Dateien runterladen, hochspielen etc.), Tasks beenden, uvm. Die Funktionsweise des Back Orifice ist schon aus anderen Hacker-Tools bekannt; neu ist In erster Linie der Bedienungskomfort der grafischen "Wartungskomponente" -- wenige Eingaben und Mausklicks gengen, um Prozesse zu beenden, Tastatureingaben zu protokollieren, die Windows-Registry zu manipulieren oder IP-Adressen umzuleiten. Einen interessanten Praxisbericht findet man unter der deutschen Adresse http://www.puk.de/Back Orifice/default.htmloderhttp://www.bubis.com/glaser/backorifice.htmUm Ihr System auf ein vorhandenes Back-Office zu untersuchen, gibt es Programme wie BoDetect , (hitp://www.spiritone.coni/-cbenson/current_projects/backorificefbaekorifice.htm) oder das Programm BORF-D (http://www.st-andrews.ac.uk/-sjs/boredfbored.html) Es ist aber auch manuell sehr einfach, Back Orifice zu entfernen: ffnen Sie die Registry (regedit.exe ausfhren) und schauen unter dem Schlssel HKEY LOCAL MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices nach einem Eintrag mit dem Namen ".exe" (Default- Filename) bzw. mit einem Eintrag der Lange 124,928 (+/- 30 Bytes). Lschen Sie diesen Eintrag; er bewirkt, da der "Back Orifice"-Server .bei jedem Windows-Start automatisch aktiviert wird. Das Programm selbst liegt im allgemeinen im Verzeichnis "WindowsSystem" und ist daran erkennbar, da es kein Programm- Icon hat und eine Gre von 122 KByte (oder geringfgig mehr) besitzt. Sollten Sie die Datei aus irgendwelchen Grnden nicht finden, kann es Ihnen helfen, da verschiedene Informationen als ASCII-String im Prgramrn-Code zu finden sind; so ist mit groer Wahrscheinlichkeit die Zeichenkette "bofilern...
