La chaîne caractéristique de Back Orifice est <code*!*QWTY?. Il utilise le port 31337. On attribue ce choix au fait qu'en Leet speak, 31337 se lit ELEET (« élite »). Ce port est modifiable.
Le client, utilisé par l'attaquant, est configurable, modulaire et même skinnable. Il comprend un système de Marque-page et un logger. Il peut se connecter sur plusieurs serveurs à la fois.
Le serveur comprend un accès à un shell par telnet, un keylogger, un éditeur de registre, un serveur http, des outils pour transférer, supprimer et installer des fichiers/programmes à distance, un accès au système de partage des réseaux Microsoft, un cracker de mot de passe (NT/95/98) et de quoi redémarrer la machine. Il supporte les redirections TCP, la résolution DNS et un contrôle des processus (démarrage, arrêt, listage). Il est aussi capable de détourner des messages système. L'accès à tout cela se fait en partie par une dll de 8ko incluse dans l'exécutable.
Des plug-ins de cryptage 3DES et à la volée, de contrôle graphique (bureau avec clavier/souris, éditeur de registre), de support de l'UDP et de l'ICMP sont également disponibles.
L'utilitaire « NOBO » permet de détecter le traffic réseau généré par Back Orifice. Pour supprimer BO, il suffit de supprimer l'excécutable serveur ainsi que la clé de base de registre associée, puis de redémarrer.
Utilisation
L'installation se fait par une simple exécution du programme BOSERVE.EXE (122ko) : celui va se renommer en .EXE (le nom du fichier est un espace) et ajouter le chemin de ce programme à la clé de base de registre HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices. Le serveur s'exécutera ainsi silencieusement à chaque démarrage de la machine ; de plus, il n'est pas visible dans la liste des processus exécutés.
Le client graphique est lancé par BOGUI.EXE et le client console par BOCLIENT.EXE.