Según informamos en nuestra nota anterior sobre Back Orifice, el programa contiene una parte servidor y otra cliente. La parte servidor consiste de un archivo de 124.928 bytes que, aunque puede tener nombres distintos, siempre será del tipo .exe. Durante la instalación, se ubica en el directorio windows/system. Por ello, lo primero que debe hacerse es revisar si en tal directorio existe un archivo del tamaño señalado. Si en efecto se encuentra en ese lugar, y el usuario no lo reconoce, hay buenas posibilidades de que se trate de Back Orifice.
Entonces, es necesario iniciar REGEDIT, el programa que permite modificar el registro de Windows (se encuentra en el directorio de Windows).
En REGEDIT, es necesario encontrar la siguiente clave: HKEY_LOCAL_MACHINESOFTWAREMicrosoft
WindowsCurrentVersionRunServices. Esta puede tener diversos nombres y tamaños. Es preciso entonces establecer si alguno de los valores es idéntico al encontrado en el directorio SYSTEM. Si ese no es el caso, hay que cancelar la operación. Si en cambio se logra establecer una coincidencia de valores, hay que borrar el valor encontrado en el registro y luego después de haber encendido nuevamente la computadora-, hay que borrar el archivo del programa (en SYSTEM), ya sea desde DOS o desde Windows. Back Orifice estará eliminado de su computadora.
Conviene tener presente que aún no se conoce cabalmente el funcionamiento y características de Back Orifice. Por ello, es posible que este sea sólo una parte del ataque ideado por The Cult of the Dead Cow.
Le mantendremos informado.
