jueves, 27 de enero de 2000

SubSeven 2.1 Gold, un nuevo troyano entra en escena

BackOrifice y NetBus son sin duda los troyanos más conocidos pero
hay muchos más, cada día aparece alguno nuevo por eso hay que
estar prevenido y tener cuidado. En esta ocasión nos hacemos eco
de SubSeven 2.1 Gold, un nuevo troyano de altas capacidades y
gran peligro que ha aparecido recientemente.
Realmente no se trata de un nuevo troyano, como bien indica su
número de versión. En esta ocasión nos encontramos ante un
troyano ya clásico pero que incluye una gran cantidad de nuevas
características que lo hacen distinguirse de los demás.

Como otros troyanos similares consta de dos partes, trabajando
como una aplicación cliente-servidor la parte que se instala en
el ordenador atacado hace las veces de servidor, mientras que la
parte que emplea el atacante es el cliente.

Esta nueva versión de SubSeven incluye nuevas características
como libro de direcciones, visor de procesos, explorador de Ips
remotas. webcam, texto a voz, grabador de teclado, ICQ takeover,
espías de ICQ, Microsoft Messenger y Yahoo Messenger, visor de
portapapeles, información del ordenador atacado, movimiento del
ratón remoto, abrir y cerrar la unidad del CD-ROM, control del
sistema de archivos (creación, borrado y edición de archivos y
directorios) y un largo etcétera de posibilidades.

Subseven 2.1 Gold ocupa varios puertos por defecto dependiendo de
su función, como el 27374 TCP para sus acciones normales, el
54283 TCP para espiar el ICQ mientras que la grabación del
teclado se realiza a través del 2773 TCP. Aunque todos estos
puertos pueden cambiarse a gusto del atacante.

La forma de eliminación de este troyano dependerá de la forma en
que el atacante lo haya configurado. Si el usuario malicioso
empleó la versión por defecto, se deberá emplear cualquier editor
de texto para abrir el system.ini (generalmente en
c:\windows\system.ini) y modificar la entrada shell=Explore
MSREXE bajo [boot] a shell=explore.exe. Tras ello, se debe
reiniciar el ordenador. Por último se puede eliminar el archivo
troyano MSREXE.exe del directorio Windows.

Si el atacante configuró el servidor para iniciarse con un método
desconocido se deberá proceder de otra forma para su eliminación,
en primer lugar se cambiará el valor de la llave del registo
HKEY_CLASSES_ROOT\exefile\shell\open\command a "". Tras ello, se
reiniciará el ordenador y se borrará el archivo troyano
MSREXE.exe del directorio Windows.

Si el atacante configuró el troyano para iniciarse con el win.ini
se deberá emplear un editor de texto para modificar el archivo
win.ini (generalmente en c:\windows\win.ini) y eliminar la línea
run=MSREXE.exe bajo [Windows]. Tras lo que ya sólo resta
reiniciar y eliminar el archivo troyano MSREXE.exe.

Por último, también se puede configurar SubSeven para iniciarse a
través del registro, en cuyo caso se debe ejecutar regedit.exe y
eliminar la clave winloader del registro localizada en
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
o en
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunS
ervices. Como anteriormente basta reiniciar el ordenador y
eliminar MSREXE.exe.

Más información:
SubSeven




Antonio Ropero
antonior@hispasec.com