BackOrifice ist ein Hacker-Programm, das in 32-Bit-Anwendungen fremde Zugriffe auf das befallene System erlaubt. Es handelt sich nicht um einen Virus, da keine anderen Programme befallen werden, doch verfügt BackOrifice über ein großes Schadenspotential für Außenstehende. Wenn BackOrifice sich auf einem System eingenistet hat, kann jeder, der die IP-Adresse kennt, mit allen Rechten über das System verfügen. Das kann von Datenklau bis zu bösartiger Formatierung reichen.

Die ausführbare Datei kann einen beliebigen Namen haben. Es finden keine sichtbaren Eingriffe ins System statt. Der Port für die Kommunikation kann frei konfiguriert werden. Das Programm kann in andere Programme eingebettet und dann als Utility, Screensaver, ... verteilt werden. Sämtliche für Internet-Zugänge, Mail-Programme oder WWW-Pages gespeicherten Passwörter können entschlüsselt werden. Es können auf dem Zielrechner Dateien gesucht und zum kontrollierenden Rechner übertragen werden. Es können Programme auf dem Zielrechner ausgeführt werden. Registry-Einträge können abgefragt und geändert werden. Das System kann gesperrt oder rebootet werden. Es können Tastatureingeben mitprotokolliert werden. Über eine eigene Plug-In-Schnittstelle können selbstgeschriebene DLLs für beliebige Aufgaben eingehängt werden.

BackOrifice 2000 ist der Nachfolger des oben beschriebenen Trojaners und verfügt über noch mehr Schadenspotenzial wie sein Vorgänger.

Primär ist der BO2K mit Leistungsmerkmalen wie sein Vorgänger, der BO, ausgestattet, er verfügt allerdings über mehr Features, es wurden viele Bugs ausgebessert und er läuft, im Gegensatz zur Ursprungsversion, die ausschließlich auf Windows95 lief, auch unter Windows98, NT und 2000. Hinzu kommt eine übersichtliche und einfach zu bedienende Oberfläche, die es auch weniger "routinierten" Anwendern erlaubt mit dem Tool zu arbeiten.

Wie beim alten BO konfiguriert man zuerst einen BO2K-Server. Dieser Server bietet nun die Möglichkeit eine eigene EXE-Datei zu patchen. Diese Datei ist der eigentliche Trojaner, und somit auch der Teil des BO2K, der distributiert wird um andere Systeme zu infiltrieren. Remote-Installation dieser EXE-Datei, und somit des Trojaners, ist nach wie vor nicht möglich.

Man kann BO2K dabei so konfigurieren, dass er bei jedem Neustart aktiv wird und seine Prozesse dabei im Verborgenen bleiben, womit der Trojaner vermeintlich unsichtbar bleibt! Dabei versucht der BO2K auch alle Spuren zu verwischen, indem er versucht die Startdateien, mit denen er aktiviert wurde, zu löschen. Dies gelingt dem Trojaner allerdings nicht immer. Wesentlich perfider ist da schon die Möglichkeit, dass er besagte Startdatei unter beliebigen Namen im System-Verzeichnis verstecken kann.

Der Datentransfer, also etwa das Absaugen von Dateien oder Passwörtern, kann entweder XOR oder 3DES verschlüsselt werden. Dafür ist aber ein mindestens 14 Zeichen langes Passwort nötig. Man muss dieses Passwort auch wissen, um sich mit dem BO2K-Server zu verbinden.

Ein kleiner Auszug aus der Featureliste bestätigt, wie umfangreich und durchdacht der BO2K tatsächlich ist:

Datei/Verzeichnis-Manipulationen (Umbenennen, Löschen, Verschieben, Kopieren, Anzeigen, Senden, Empfangen, ...), System rebooten, Passwörter die vom Windows-System gecached sind auslesen, Tastatureingaben mitprotokollieren, eine Message-Box ausgeben, Freigaben erstellen und entfernen, Prozesse starten und stoppen, Registry auslesen und verändern, angeschlossene Video-Geräte capturen (WebCam, ...), Screenshots machen, BO2K-Plugins laden/entladen...

Theoretisch kann man für den BO2K auch eigene PlugIns schreiben um die Funktionalität des BO2K um jeweils individuelle Bedürfnisse zu erweitern. Mit einem mitgelieferten Plugin kann beobachtet werden, was der User gerade macht (etwa wie im Remote Control Programm PC-Anywhere). Mit dem gleichen Plugin kann auch die Kontrolle über diesen Rechner übernommen werden.

Das Gefährliche am BO2K ist, dass die einzige, relativ kleine (ca. 140KB) EXE-Datei, die für den BO2K-Server notwendig ist, sehr leicht als Trojaner verwendet werden kann. Wird diese EXE-Datei vom Anwender tatsächlich ausgeführt, steht der Übernahme des jeweiligen PCs nichts mehr im Wege.

Ansonsten ist es ein sehr kleines praktisches Remote-Admin-Tool um ein Netzwerk zu administrieren. Die Tatsache, dass der BO2K ein eigenes TCP/UDP-Port benötigt lässt ihn aber bei einer gut konfigurierten Firewall abblitzen. Sollte jedoch ein Standard Port, z.B. der HTTP-Port 80, verwendet werden, so wird ihn auch die beste Firewall nicht stoppen können.

Dennoch benötig der vermeintliche Angreifer bestimmte Informationen, um sich mit einem BO2K-Server zu verbinden. Dies sind die IP-Adresse des Rechners, der Port, auf dem der BO2K wartet, das Passwort, mit dem der BO2K den Datentransfer verschlüsselt und die Verschlüsselungsart (zur Zeit XOR oder 3DES).

Hat er diese jedoch erhoben, steht einer Übernahme der völligen Kontrolle der infiltrierten Systeme nichts mehr im Wege. Grundsätzlich kann der BO2K ein Netzwerk nicht von "selbst" infizieren. Er benötigt dazu die Hilfe eines Anwenders, der diesen unbewusst startet oder eines Hackers, der den BO2K in dem System in Umlauf bringt.

Der BO2K verfügt über keinerlei eigentliche Schadensfunktion, etwa dass er von sich aus Daten löscht oder manipuliert. Er ist schlicht und einfach ein Remote-Control Programm, mit dem bestimmte Aktivitäten im Netzwerk entfaltet werden können. Ob diese mit Schadenswirkungen verbunden sind, hängt dabei primär von den Handlungen desjenigen ab, der mit Hilfe des Backdoor-Programms die Kontrolle über befallene PCs erhalten hat

Armageddon & BackDoor-G

Der in den USA entdeckte "BackDoor-G" wird übers Internet verschickt - getarnt als Werbe-Mail, die neue, angeblich beigefügte Bildschirmschoner oder Spiele-Update anpreist. Installiert der Anwender das Programm, verschafft er dem Absender ahnungslos Zugang zu seinem System. Ein ähnlicher Schädling namens "Armageddon" wurde in Frankreich entdeckt.

Gefährlich sind die neuen Trojaner vor allem deshalb, weil sie ihre Dateinamen nach Belieben ändern können und es dadurch schwer ist sie zu erkennen. Sie erinnern stark an frühere Attacken, bei denen sich Hacker heimlich Zugang zu privaten oder Firmenrechnern verschafften - etwa BackOrifice oder NetBus. Sie stellen eine Mischung aus Virus und Sicherheitslücke dar. Für die Antiviren-Softwarehersteller heißt das, dass sie nicht nur ihren Virenschutz, sondern auch ihre Programme zur Zugangserkennung auf die neuen Gefahren zuschneiden müssen.