Sábado 4 de diciembre de 1999.
Existen numerosas versiones de este trojan. SubSeven (Sub7) tiene casi las mismas opciones del trojan NetBus, pero además, el servidor puede enviarle su IP al hacker cuando usted se conecta a Internet, via cualquier e-mail y/o ICQ.
La versión 2.1 del trojan, aparecida recientemente, incluye además una función para tomar a la fuerza el ICQ de la máquina de la víctima (incluidos la lista de contactos de esta). Luego de esta acción permite recibir y enviar mensajes desde este ICQ (verdaderamente podemos decir "tomado por asalto"). Esta opción se llama ICQ Takeover.
Pero existen otras opciones:
Libro de direcciones que permite mantener un control total sobre su víctima, si está on-line, quienes lo están, etc.
No es necesario saber el IP de la víctima, solo necesita su UIN (el número de identificación en el ICQ). Por supuesto, este número también es revelado por el trojan.
Recoge información del PC infectado, con posibilidades de capturar incluso el número de registro (CD KEY) del Windows de la víctima.
Posibilidades de actualizar el servidor de la víctima, sin que este se de cuenta, con nuevas futuras versiones o actualizaciones.
Captura de todo lo tecleado en el PC de la víctima.
ICQ TAKEOVER. Esta opción permite como decíamos, tomar por completo el control del ICQ de la víctima, conectarse usando su UIN, conocer todo su historial, recibir y enviar mensajes con dicho UIN. También permite apoderarse del banco de datos completo del ICQ de la víctima.
Posee un servidor FTP que le permite ingresar a la máquina atacada con cualquier cliente FTP.
RETRIEVE RAS PASSWORDS es una característica de SubSeven que ha sido perfeccionada en la versión 2.1, que permite robar todas las contraseñas de conexiones a Internet, nombre de conexión, número telefónico, nombre de usuario y contraseña.
Opciones que permiten redireccionar cualquier puerto de la máquina atacada a voluntad del hacker, con innumerables posibilidades, sobre todo para aquellos con más conocimientos (no olvidemos que "herramientas" como estas convierten en "hacker" a cualquier usuario. Pero un verdadero hacker no necesita de estas herramientas. Esta opción está a medio camino entre ambas posiciones, y abre posibilidades tan interesantes como peligrosas).
Control total para manejar archivos, crear y borrar carpetas, etc.
PROCESS MANAGER, una característica que muestra al hacker una lista de todos los procesos de la PC de la víctima, con total control sobre estos.
Posibilidades de teclear un texto que luego la víctima podrá "escuchar" en sus parlantes, mediante la conversión de texto a sonido (text2speech) a través de una opción TrueVoice. Esta opción aún no está disponible, pero se anuncia que pronto lo estará por medio de una actualización.
Posibilidades de controlar el portapapeles de la víctima (solo texto). Insertar, borrar, etc.
El servidor (la parte que se instala en la máquina de la víctima), tiene un tamaño de
380,835 bytes, y puede llamarse MSREXE.EXE.
El icono del servidor es el siguiente:
Puede instalarse, tanto modificando la clave del registro siguiente:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\Run
Winloader=MSREXE.exe
Como esta:
HKEY_LOCAL_MACHINE\Software\Microsoft
\Windows\CurrentVersion\RunServices
WinLoader=MSREXE.exe
O el archivo Win.ini
Win.ini
[windows]
load=MSREXE.exe
O System.ini
System.ini
shell=Explorer.exe MSREXE.exe
Como el nombre puede ser cambiado, esta información solo sirve como base informativa.
Para desinstalarlo manualmente, busque y borre cualquiera de
estas entradas y el archivo MSREXE.EXE.
Existen numerosos programas que permiten eliminar y reparar los daños
causados por otras versiones de este trojan. Puede encontrarlos en nuestra sección
"Antitrojans". Para esta
versión, utilice "SubSeven Remover 1.2.1" del 29 de noviembre, que detecta y remueve las versiones 2.x de este trojan (incluido SubSeven 2.1 Server) de su sistema.
Ver también:
03/dic/00 - Trojan: BackDoor-G2 (SubSeven, TSB, Serbian Badman, etc.)
12/dic/00 - Trojan: Pillapass. Simula
ser un robador de contraseñas
21/dic/00 - Troj_Sub7.401315. Otra variante del troyano SubSeven
23/dic/00 - Troj_Sub7drpr.B. "Dropper" de Troj_Sub7.401315
29/dic/00 - VBS.Sorry.A. Busca PC infectadas con el trojan SubSeven
04/ene/01 - Troj_Sub7.Muie. Captura las conexiones del ICQ, MSN, etc.
11/mar/01 - Trojan.SubSeven.2.2. Ultima versión del peligroso troyano
|