|
SubSeven 2.15, destructivo troyano/backdoor, toma control absoluto de los sistemas
atacados.
|
|
©
Jorge Machado Lima-Perú
|
|
Troj/SubSeven
2.15
SubSeven 2.15 es
un muy peligroso troyano/backdoor
reportado el 04 de Marzo
del 2003, creado por el grupo de hackers SubSeven. Esta
versión ha sido codificada por
el auto-denominado mobman:
http://www.sub7.net
Constituye un gravísimo hecho, que este software
se encuentre al alcance de cualquier usuario y pueda ser descargado del
sitio web de este grupo, el cual actúa en forma impune en Internet desde
hace algunos años.
Es un PE
(Portable
Ejecutable) y ataca a Windows
95/98/NT/Me/2000/XP,
incluyendo los servidores NT/2000,
está desarrollado en Visual C++
y
comprimido con el utilitario
UPX (Ultimate Packer
for eXecutables):
http://upx.sourceforge.net
A pesar que sus desarrolladores
lo consideran un R.A.T. (Remote Administration Tool),
es en realidad una muy peligrosa herramienta de hacking o cracking, que una vez
ingresado su software Servidor a uno a más sistemas, incluyendo servidores,
permitirá al poseedor del software Cliente, tomar el absoluto control de los
mismos. Tiene los siguientes componentes:
Editor: Editserver.exe de 307 KB
- Configura el servidor a ser atacado.
- Configura direcciones IP aleatorias a
ser atacadas (IP Scanner)
- Modifica el registro de MS Windows.
- Modifica el archivo WIN.INI
- Utiliza diversos métodos de ingreso
furtivo.
- Toma control del sistema por el IRC
- Toma control del sistema por el ICQ
- Extrae la información del sistema,
direcciones de correo, passwords, etc. vía Messenger, ICQ o IRC.
- Notifica a la dirección de correo
configurada por el hacker.
- Usa un puerto determinado o puertos
aleatorios.
- Habilita el IRC BOT
- Genera un falso mensaje de error.
- Renombra el archivo Server.exe
- Opciones misceláneas.
Cliente: SubSeven.exe de
643 KB
Servidor: Server.exe de 363 KB (puede
ser renombrado) e ingresa a los sistemas por cualquier puerto, en forma directamente
asignada o aleatoria.
ICQMAPI.dll de 57.5 KB, archivo que
permite la funcionabilidad de Cliente/Servidor en el ICQ.
Tutorial.txt de 8.87 KB desarrollado por
FuX0reD.
Al ser ejecutado SubSeven,
crea la siguiente llave de registro, en la cual almacena la información del
usuario:
[HKEY_LOCAL_MACHINE\Software\SubSeven]
Nota: Descargar e instalar este software implica un grave riesgo de ser atacado.
Los payloads
de este troyano/backdoor son los siguientes:
- Captura información de la configuración
del servidor y de las estaciones de trabajo.
- Captura teclas digitadas por el usuario,
deshabilita el teclado o mouse.
- Establece contacto con la víctima vía
IRC y los usuarios de una misma sesión de Chat.
- Espía el ICQ, AIM, MS Messenger y Yahoo
Instant Messenger.
- Usa su propio servidor de correo SMTP
para enviar mensajes.
- Emite Pop-ups y falsos mensajes de
error.
- Control de Acceso Remoto de los archivos
y programas de los sistemas atacados.
- Roba claves de acceso.
- Utiliza el sistema infectado como
servidor de correo o IRC
- Activa y desactiva el equipo, lo
suspende o apaga.
- Puede enviar comandos a través del
Chat.
- Infecta por HTTP y FTP.
- Descarga o extrae archivos en sistemas
atacados.
- Deshabilita procesos o los anula:
antivirus, firewalls, sistemas de control.
- Si encuentra un cámara Web, la
manipula.
- Cambia la página web configurada por
defecto en el navegador.
- Imprime mensajes en pantalla y a través
de la impresora conectada.
- Cambia la resolución del monitor y sus
colores.
- Re-inicia el sistema, lo suspende o
apaga.
- Controla el sonido de los parlantes.
- Cambia la hora y fecha del sistema.
- Manipula periféricos como CD-ROM, DVD,
impresoras, mouse, etc.
- Borra archivos y formatea el disco duro.
PER ANTIVIRUS®
versión 7.9 con registro de virus al 04 de
Marzo
del 2003 detecta y elimina eficientemente este troyano/backdoor.
