– system zdalnej administracji pozwalający kontrolować komputery wyposażone w systemy Windows 95, 98 oraz NT (Back Orifice 2000) poprzez połączenie TCP/IP, używając konsoli tekstowej lub aplikacji z graficznym interfejsem.
Stworzony przez hakerów z grupy cDc (ang. Cult of the Dead Cow www.cultdeadcow.com), Back Orifice jest w rzeczywistości koniem trojańskim wykorzystującym słabości systemu Windows. Uruchomiony, instaluje się w systemie i monitoruje jego pracę bez widocznych z zewnątrz przejawów aktywności (nie jest wyświetlany na liście menadżera zadań).
Back Orifice 2000 (Back Orifice 2K) – część pełniąca rolę klienta (działa po stronie atakującego). Umożliwia przejęcie pełnej kontroli nad komputerem ofiary. Napastnik może pobierać, tworzyć i kasować dowolne pliki, uruchamiać aplikacje, śledzić działania użytkownika i przechwytywać wysyłane przez niego informacje (np. tak istotne jak hasła czy numery kart kredytowych).
Back Orifice jest rozpowszechniany w pakiecie kilku programów wraz z dokumentacją. Najważniejsze z nich są Boserv.exe (lub Bo2k.exe) oraz Bogui.exe (Bo2kgui.exe), z których pierwszy jest instalowanym na maszynie ofiary serwerem i zarazem właściwym koniem trojańskim, drugi zaś klientem służącym do przeprowadzania zdalnych operacji. Po zainfekowaniu komputera część serwerowa kopiuje sama siebie do katalogu systemowego Windows pod nazwą .exe (lub inną, wybraną podczas konfiguracji serwera) oraz dopisuje się w rejestrze jako jedna z usług autostartu:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Services
Następnie przydziela zasoby dla określonego portu (w Back Orifice jest to standardowo 31337, w Back Orifice 2000 wybierany jest podczas konfiguracji serwera) i zaczyna nasłuchiwać na tym porcie. Komendy wydawane przez klienta przychodzą w postaci zaszyfrowanej i są wykonywane przez serwer w sposób niewidoczny dla właściciela komputera. Możliwe są m.in. takie działania jak:
– przesyłanie informacji systemowych: nazwy komputera, nazwy użytkownika, typu procesora, wielkości pamięci, wersji Windows, zainstalowanych sterowników, etc.;
– wyświetlanie zawartości dysków;
– odszukiwanie określonych plików, a także ich wysyłanie, pobieranie, kopiowanie, usuwanie oraz uruchamianie;
– tworzenie i kasowanie katalogów;
– wyświetlanie i kończenie aktywnych procesów;
– udostępnianie rejestrów systemowych;
– pobieranie haseł znajdujących się w pamięci podręcznej;
– przechwytywanie znaków wprowadzanych przez użytkownika z klawiatury;
– przyłączanie się do zasobów sieciowych;
– przechwytywanie transmitowanych informacji;
– przekierowywanie połączeń;
– uruchomienie prostego serwera HTTP dającego dostęp do komputera przez przeglądarkę;
– zawieszanie komputera;
– wyświetlanie okien z dowolnymi komunikatami;
– odgrywanie plików dźwiękowych.
Możliwości Back Orifice mogą być rozszerzane o dodatkowe funkcje poprzez zastosowanie plug-inów. Takie wtyczki mogą być rozprowadzane wraz z serwerem lub przesyłane do serwera i tam instalowane.