Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Trojan: SubSeven.2.2. Ultima versión del peligroso troyano
 


VSantivirus No. 246 - Año 5 - Domingo 11 de marzo de 2001

Nombre: Trojan.SubSeven.2.2
Tipo: Caballo de Troya de Acceso Remoto
Fecha: 10/mar/01
Nombre del servidor: SubSeven
Tamaño del servidor: 54.5 Kbytes
Archivo del servidor: server.exe
Icono del servidor: Clásico de un programa de Win16:

Infecta: Windows 95/98/ME/NT/2000
Puerto por defecto: 27374 TCP (puede ser cambiado)

Se trata de la última versión (final, no beta), de uno de los caballos de Troya más famosos.

SubSeven 2.2 es un troyano del tipo Backdoor (acceso por la "puerta trasera"), que toma el control remoto de la PC atacada sin conocimiento de su propietario. La mayoría de las acciones posibles, también pueden pasar inadvertidas, convirtiéndose en un verdadero ataque a la privacidad, no solo por la capacidad de controlar una PC en forma remota, sino también por la de obtener y alterar todo tipo de información presente en ella.

El troyano en si consta de cuatro archivos: el servidor, que se instalará en el PC infectado, el cliente, desde donde el atacante podrá controlar al PC que haya sido infectado con el servidor, un DLL necesario para su funcionamiento (ICQMAPI.DLL) y el editor para personalizar el servidor (EDITSERVER.EXE).

Para ejecutar el servidor en la PC de la víctima, casi siempre se apela a la inocencia y credulidad de su dueño, quien ejecuta un supuesto utilitario enviado por un "amigo" o un desconocido, o bajado de Internet, muchas veces disfrazado de inocente programa.

Una vez ejecutado, el atacante, a través del programa cliente, podrá tomar el control del servidor (y por ende de la máquina de la víctima), a través de una comunicación realizada (en principio, porque es configurable), por el puerto TCP 27374.

Las acciones disponibles son:

  • Redireccionado de aplicaciones
  • Captura y espionaje de comunicaciones vía ICQ, MSN, AIM y YAHOO
  • Cambio de teclado mayúsculas/minúsculas (Caps Lock on/off)
  • Cambio de la resolución de la pantalla
  • Cambio de vista, fecha y hora
  • Cambiar los valores del volumen de sonido
  • Cambio de los colores de Windows
  • Manejador del portapapeles (Clipboard manager)
  • Control del ratón
  • Deshabilitar y habilitar las teclas ALT-CTRL-SUPR
  • Deshabilitar y habilitar cualquier tecla
  • Manejador de archivos
  • Búsqueda de archivos
  • Mover la pantalla
  • Servidor FTP
  • Obtener la clave del AIM
  • Obtener todas las claves guardadas en el caché
  • Obtener información del usuario
  • Obtener la clave del ICQ
  • Obtener información del PC
  • Obtener las claves de acceso a Internet
  • Obtener la clave del salvador de pantalla
  • Captura de la pantalla
  • Esconder o mostrar el reloj
  • Esconder o mostrar el escritorio
  • Esconder o mostrar el cursor del ratón
  • Esconder o mostrar el botón de Inicio
  • Esconder o mostrar la barra de tareas
  • Controlar el ICQ
  • Captura de todo lo tecleado
  • Cerrar sesión, apagar, reiniciar o salir de Windows
  • Prender y apagar el monitor (ahorro de energía)
  • Visualizar toda la red (Network browser)
  • Activar y desactivar el teclado numérico (Nums lock on/off)
  • Abrir o cerrar la bandeja del CD
  • Sniffer de paquetes
  • Redireccionar puertos
  • Manejador de impresoras
  • Manejador de procesos
  • Grabaciones del sonido emitido, a través del micrófono del PC
  • Grabaciones de video (AVI de WebCams y QuickCams)
  • Chat
  • Actualizaciones a través de Internet del servidor
  • Manejador del registro
  • Activar o desactivar Bloq. Despl. (Scroll lock on/off)
  • Escribir en el teclado remoto
  • Enviar mensajes
  • Enviar a un URL
  • Intercambiar los botones del ratón
  • Convertir texto en voz (Text-2-speech)
  • Ver la imagen de la webcam
  • Manejador de Windows

SubSeven 2.2 agrega tres nuevas formas para autocargarse en Windows, ejecutándose en cada reinicio del sistema. De esa manera siempre estará disponible al conectarse la víctima a Internet:

  1. Usando la opción de Componentes Instalados del registro
  2. Creando una carpeta de inicio personalizada
  3. Creando un archivo EXPLORER.EXE en el directorio raiz

A diferencia de versiones anteriores, la 2.2 agrega la posibilidad de enviar comandos en línea y utiliza plugins (actualizaciones) vía Internet, como lo hace el BO2K (Back Orifice 2000)

Estos plugins se descargan de cualquier sitio Web, y se instalan en la computadora infectada. Los mismos llevan la extensión .DLL con nombres aleatorios, y son guardados en la carpeta C:\WINDOWS\SYSTEM.

El servidor posee también, varias formas de notificar al atacante que la víctima está conectada a Internet. Estas pueden ser vía ICQ, IRC, e-mail, o a través de una dirección IP estática.

Con el editor se pueden crear distintos mensajes de error personalizados, del tipo "Archivo corrupto" (o cualquier otro que se desee), de modo que la víctima piense que esa "fabulosa utilidad" que recibió vía e-mail o bajó de Internet, no funciona, cuando en realidad ya se instaló en su PC.

Las enormes posibilidades de este troyano, lo convierten en una peligrosa amenaza. Mantener al día sus antivirus, no ejecutar nada recibido vía e-mail que usted no solicitó, y revisar antes con uno o dos antivirus todo archivo bajado de Internet, o descargado de un CD, disquete, etc., minimizan las probabilidades de infección.

El uso de un cortafuegos como Zone Alarm, que es gratuito para uso personal, también es muy aconsejable, a los efectos de impedir la comunicación de cualquier troyano o aplicación maliciosa desde y hacia su PC.

Cómo quitar manualmente el troyano de un sistema infectado

1. Con el REGEDIT (Inicio, Ejecutar, REGEDIT y Enter) localice las siguientes ramas:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run

y

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
RunServices

Borre la carpeta "RunDLL32r" si aparece en alguna de las dos ramas mencionadas.

2. Con el REGEDIT localice las siguientes ramas:

HKEY_LOCAL_MACHINE
Software
Microsoft
Active Setup
Installed Components

Borre las entradas "%random" y "name%" si aparecen allí

3. Con el REGEDIT localice la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
Currentversion
explorer
User shell folders

Borre la entrada "Common Startup" en la ventana de la derecha

4. Desde Inicio, Ejecutar, teclee SYSTEM.INI (más Enter), y modifique la siguiente entrada (nombre_servidor puede ser cualquier nombre dado al servidor del troyano):

[boot]
shell=Explorer.exe c:\windows\system\nombre_servidor.exe

Cámbiela por la siguiente:

[boot]
shell=Explorer.exe

5. Desde Inicio, Ejecutar, teclee WIN.INI (más Enter), y modifique la siguiente entrada:

[Windows]
load=c:\windows\system\nombre_servidor.exe

Cambiándola por la siguiente:

[windows]
load=

6. Borre el archivo C:\EXPLORER.EXE

Importante: No confunda C:\EXPLORER.EXE con C:\WINDOWS\EXPLORER.EXE que es el Explorador de Windows.

7. Reinicie la computadora

8. Borre el archivo del troyano, ("nombre_servidor.exe", donde "nombre_servidor" puede ser cualquier nombre dado al servidor), de la carpeta C:\WINDOWS\SYSTEM

9. Ejecute un antivirus al día, y utilice un programa tipo firewall (o cortafuego) como el ZoneAlarm (ver "VSantivirus No. 117 - Año 4 - Jueves 2 de noviembre de 2000, Zone Alarm - El botón rojo que desconecta su PC de la red").

Fuentes: Dark Eclipse, Panda


Ver también:
04/dic/99 - Trojan: SubSeven 2.1
03/dic/00 - Trojan: BackDoor-G2 (SubSeven, TSB, Serbian Badman, etc.)
12/dic/00 - Trojan: Pillapass. Simula ser un robador de contraseñas
21/dic/00 - Troj_Sub7.401315. Otra variante del troyano SubSeven
23/dic/00 - Troj_Sub7drpr.B. "Dropper" de Troj_Sub7.401315
29/dic/00 - VBS.Sorry.A. Busca PC infectadas con el trojan SubSeven
04/ene/01 - Troj_Sub7.Muie. Captura las conexiones del ICQ, MSN, etc.

 

Copyright 1996-2001 Video Soft BBS