|
VSantivirus No. 968 - Año 7 - Domingo 2 de marzo de 2003
Troj/BackDoor.Sub7. Nueva variante: Sub7 Legends 2.15
http://www.vsantivirus.com/sub7.htm
Nombre: Troj/BackDoor.Sub7
Tipo: Caballo de Troya de Acceso Remoto
Fecha: 16/dic/1999
Actualización: 1/mar/03
Variantes:
Sub7 Defcon8 2.1
Sub7 2.2 Beta
Sub7 Legends 2.15
Alias:
BackDoor.IRC.Mata
BackDoor.PolyDrop
Backdoor.Subseven.22.a
BackDoor/SubSeven2.2
BackDoor-G2
BackDoor-G2.svr
BackDoor-G2.svr.gen
BackDoor-G22.svr
BackDoor-Sub7
BackDoor-Sub7.svr
BackDoor-Sub7.svr
Badman Trojan
Serbian Badman Trojan
Sub7 v2.x
SubSeven v2.0
SubSeven v2.1
SubSeven v2.1 Gold
SubSeven v2.12
SubSeven v2.13
SubSeven v2.2 Beta
Troj.Sub7
Troj_Sub7.22.d
TROJ_SUB7.MUIE
Troj_Sub7.v20
Trojan.PSW.Pet.e
Trojan.SubSeven.2.2
TSB Trojan
El primero de marzo de 2003 una nueva versión del troyano fue lanzada por su autor. Llamada "Sub7 Legends 2.15", utiliza las técnicas genéricas de las versiones anteriores.
Por defecto el troyano utiliza el puerto TCP/27374, pero es configurable.
Normalmente se distribuye como un dropper en formato .EXE de Win32 PE. Pero puede hacerse pasar por una imagen JPG o BMP.
Cuando el dropper se ejecuta, el mismo "gotea" en el sistema uno o dos archivos dentro de la carpeta Windows (dependiendo de la versión del troyano), Sus nombres pueden ser cambiados por el atacante al editar el servidor, antes de enviarlo a su víctima por medio de algún método de ingeniería social. El servidor, sin comprimir, ocupa 372,131 bytes.
El "paquete" del Sub7 Legends 2.15 incluye otros archivos (solo el servidor es necesario en la computadora de la víctima):
ICQMAPI.dll
58,880 bytes
tutorial.txt 9,086 bytes
editserver.exe 314,368 bytes
SubSeven.exe 658,944 bytes
server.exe 372,131 bytes
- SubSeven.EXE es el archivo usado para controlar al servidor (víctima).
- Server.EXE es el troyano que debe ejecutar la víctima en su PC (mediante engaños), para ser infectada.
- EditServer.EXE es el editor para personalizar el servidor
- ICQMAPI.DLL es una librería necesaria si se requiere el uso del ICQ para controlar al troyano.
Algunas de las acciones que el troyano puede realizar en un sistema infectado son las siguientes:
- Abrir o cerrar la bandeja del CD
- Activar o desactivar Bloq. Despl. (Scroll lock on/off)
- Activar y desactivar el teclado numérico (Nums lock on/off)
- Actualizaciones a través de Internet del servidor
- Buscar archivos en la computadora de la víctima
- Búsqueda de archivos
- Cambiar la carpeta local del troyano
- Cambiar los valores del volumen de sonido
- Cambio de la resolución de la pantalla
- Cambio de los colores de Windows
- Cambio de teclado mayúsculas/minúsculas (Caps Lock on/off)
- Cambio de vista, fecha y hora
- Captura continua con Webcam
- Captura de la pantalla
- Captura de todo lo tecleado
- Captura y espionaje de comunicaciones ICQ, MSN, AIM y YAHOO
- Cerrar sesión, apagar, reiniciar o salir de Windows
- Chat
- Control del ratón
- Controlar el ICQ
- Convertir la PC en servidor FTP
- Convertir texto en voz (Text-2-speech)
- Deshabilitar y habilitar cualquier tecla
- Deshabilitar y habilitar las teclas ALT-CTRL-SUPR
- Editar el registro del Windows de la víctima
- Editar el servidor en forma remota
- Ejecutar comandos DOS y ver el resultado en forma remota
- Enviar a un URL
- Enviar mensajes
- Esconder o mostrar el botón de Inicio
- Esconder o mostrar el cursor del ratón
- Esconder o mostrar el escritorio
- Esconder o mostrar el reloj
- Esconder o mostrar la barra de tareas
- Escribir en el teclado remoto
- Espionaje de ICQ, AIM, MSN, YAHOO Instant Messenger
- Grabaciones de video (AVI de WebCams y QuickCams)
- Grabaciones del sonido emitido, a través del micrófono del PC
- Intercambiar los botones del ratón
- Manejador de archivos
- Manejador de impresoras
- Manejador de procesos
- Manejador de Windows
- Manejador del portapapeles (Clipboard manager)
- Manejador del registro
- Mover la pantalla
- Obtener contraseñas
- Obtener información del PC
- Obtener información del usuario
- Obtener la clave del AIM
- Obtener la clave del ICQ
- Obtener la clave del salvador de pantalla
- Obtener las claves de acceso a Internet
- Obtener todas las claves guardadas en el caché
- Prender y apagar el monitor (ahorro de energía)
- Redireccionado de aplicaciones
- Redireccionar puertos
- Servidor FTP
- Sniffer de paquetes
- Ver la imagen de la webcam
- Visualizar toda la red (Network browser)
Reparación manual
Para limpiar este troyano de un sistema infectado, deberá ejecutar primero uno o más antivirus actualizados. Se sugiere su limpieza bajo MS-DOS con F-Prot desde un disquete de inicio, como se explica en nuestro sitio:
Cómo ejecutar F-PROT desde disquetes
http://www.vsantivirus.com/fprot-disq.htm
Apuntes de desinstalación
Los archivos "SubSeven.EXE", "EditServer.EXE", "ICQMAPI.DLL", pueden ser borrados directamente si aparecen en la computadora infectada.
El troyano se engancha al sistema operativo, usando alguno de estos métodos:
1. Agregando el nombre del servidor en el archivo WIN.INI (el servidor o server, puede tener cualquier nombre para engañar a su víctima).
2. Agregando el nombre del servidor en el archivo SYSTEM.INI (el servidor o server, puede tener cualquier nombre para engañar a su víctima).
3. Agregando el nombre del archivo servidor, al registro bajo alguna de las siguientes claves:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
4. Cambiando la asociación de archivos ejecutables, de modo que se ejecute el servidor cada vez que se llama a cualquier otro programa. Esto se hace desde la siguiente ramas del registro:
HKEY_CLASSES_ROOT\exefile\shell\open\command\
El troyano también agrega a la lista de extensiones de archivos ejecutables, la extensión ".DL", necesaria para descargar y ejecutar archivos desde y hacia la computadora de la víctima.
Algunos antivirus no revisan archivos .DL, por lo que se debe actuar con cuidado si encuentra algún archivo con esa extensión en su computadora.
Para remover el troyano de un sistema infectado, no solo basta con borrar todos los archivos involucrados, sino que se debe modificar el registro de la siguiente forma:
1. Primero debe renombrar el archivo REGEDIT.EXE como REGEDIT.COM, ya que la extensión .EXE está asociada al troyano, y éste se volvería a cargar si ejecutamos REGEDIT en forma normal.
2. Ejecute un antivirus actualizado y anote los archivos del troyano detectados
3. Desde Inicio, Ejecutar, teclee lo siguiente (puede usar cortar y pegar) y pulse Enter:
Command /c Rename C:\Windows\Regedit.exe Regedit.com
Si Windows no está instalado en C:\WINDOWS, debe cambiar esta referencia (Ej: C:\NOMBRE\REGEDIT.EXE, etc.).
4. Desde Inicio, Ejecutar, teclee REGEDIT.COM y pulse Enter
5. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
\exefile
\shell
\open
\command
6. Pinche sobre la carpeta "command". En el panel de la derecha debería ver algo como:
(Predeterminado) [nombre del servidor] "%1" %*
7. Pinche sobre "(Predeterminado)" y en Información del valor, debe borrar el nombre del cargador (o sea el [nombre del servidor], que puede variar) y dejar solo esto (comillas, porcentaje, uno, comillas, espacio, porcentaje, asterisco):
"%1" %*
8. Si se aplica, borre las referencias al servidor del troyano de las siguientes claves:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Active Setup\Installed Components\KeyName
9. Borre el siguiente registro de extensión su aparece:
HKEY_CLASSES_ROOT\.dl (borre la carpeta ".DL").
10. Si se aplica, edite el archivo WIN.INI y borre todas las líneas que hagan referencias el ejecutable del troyano (la línea RUN= bajo la etiqueta [windows]). Para editarlo, desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.
11. Si se aplica, edite el archivo SYSTEM.INI y borre todas las líneas que hagan referencias el ejecutable del troyano (la línea SHELL=EXPLORER.EXE [nombre del servidor] bajo la etiqueta [boot]). Para editarlo, desde Inicio, Ejecutar, teclee SYSTEM.INI y pulse Enter.
IMPORTANTE: La línea SHELL debe quedar así:
[boot]
shell=Explorer.exe
12. Reinicie su computadora.
13. Borre los archivos pertenecientes al troyano. Si se produce un error, y un archivo no se puede eliminar por estar activo, es probable el troyano siga en memoria, y se haya cometido un error en los pasos anteriores. En ese caso reitérelos actuando minuciosamente.
Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|