С чего все началось?
Наверняка история создания знаменитого Back Orifice была бы неполной без упоминания ее создателей — известнейшей хакерской группы Cult of the Dead Cow(cDc). Основанная в середине 80-х, команда прошла огонь, воду и медные трубы и до сих пор здравствует и процветает.
1 августа 1998 г. на конференции Defcon один из членов группы Sir Dystic представил Back Orifice широкой публике. Как заявил автор, его детище лишь подтверждает, насколько может быть уязвима MS Windows.
Back Orifice работал (и работает) по принципу клиент/сервер и позволяет удаленно администрировать ПК, на котором предварительно установлена серверная часть. Графический, интуитивно понятный интерфейс программы и ее внушительные возможности произвели настоящий фурор, после чего в известных кругах установка BO на чужой ПК превратилась во что-то вроде увлекательного соревнования.
С выходом в свет версии Back Orifice 2000, которая помимо Win95 и Win98 поддерживала Windows NT и имела открытый код, популярность «народного любимца» достигла апогея.
Распространяется BO как пакет, включающий в себя серверную часть (BOSERVE.EXE или bo2k.exe, возможны варианты), клиентскую часть (bo2kgui.exe) и файл конфигурации сервера (bo2kcfg.exe). В дополнение к трем перечисленным компонентам пакет может содержать плагины и документацию. Несмотря на заблуждение, что «настоящие хакеры пишут только на assembler-е», все три компоненты написаны на языке С++, имеют формат Portable Executable и могут выполнятся только в среде Windows.
При запуске серверной части происходит инициализация сокетов Windows (если очень упрощенно, сокет представляет собой серверный софт, работающий с каким-либо портом). Другими словами, сервер BO настраивает под себя нужные порты, в результате чего открытыми оказываются порт 31337 (кстати, цифра 31337 известна не только благодаря тому, что этот порт является дефолтовым портом BO. 31337 в околохацкерских кругах означает ни много ни мало — «элита», тройка напоминает E, единица — прописную L, а семерка — T «без палочки», то есть «eleet» [эли:т]), который затем используется для управления зараженным компьютером. ОБ
Разводим потомство?
Если считать «брутто», учитывая как любой зловредный код с частичными признаками троянцев, так и все модификации, то на сегодня их число приблизится к 70 тысячам. И это не предел, в кузницах хакерских групп вроде cDc наверняка готовятся очередные «завоеватели мира». Меж тем известность получилают единицы. И ввиду ограниченности журнальной площади я привел лишь несколько примеров в качестве пояснения. Заинтересовавшихся же отсылаю на страницу www.viruslist.com, где описано множество самых разных и причудливых троянских коней.