SubSeven es uno de los troyanos de Internet más clásicos, junto con
NetBus y BackOrifice ocupa los primeros puestos en este tipo de
programas maliciosos. Este troyano se hace aun más peligroso con la
aparición de la versión 2.2 que aporta novedosas características.
SubSeven se ha convertido en los últimos tiempos en uno de los troyanos
contra máquinas Windows más populares, debido principalmente a sus
capacidades de modificación y las posibilidades de control que aporta a
los atacantes. La anterior versión que data de principios del pasado año
fue analizada en Hispasec cuando apareció.
Entre las acciones que podían llevarse a cabo con la anterior versión se
contaba el apagado del ordenador remoto, recuperación de las passwords
grabadas, grabador de pulsaciones de teclado, visor de portapapeles,
información del ordenador atacado, movimiento del ratón remoto, abrir y
cerrar la unidad del CD-ROM, control del sistema de archivos (creación,
borrado y edición de archivos y directorios) y un largo etcétera de
posibilidades.
Ahora, en la nueva versión, se han incluido nuevas funcionalidades
destinadas a potenciar su poder dañino y dificultar la acción de los
antivirus y de localización de atacante. Mediante el soporte de proxy
SOCKS4/SOCKS5 un atacante podrá camuflar su localización verdadera al
ordenador atacado al poder emplear una máquina intermedia como proxy
entre el ordenador del usuario infectado y el del atacante.
Mediante un interfaz gráfico que facilita el uso SubSeven incluye un
sniffer de paquetes, una de las herramientas más temidas de la red. De
esta forma el atacante podrá escuchar y monitorizar todo el tráfico de
red que pasa por la máquina atacada. Esta información podrá quedar
grabada en un log que será fácilmente recuperado por el atacante. Así
podrá conseguir información no sólo de la máquina atacada, sino de todas
las que conforman la red.
Para dificultar aun más su localización SubSeven 2.2 incluye una nueva
característica por la cual el módulo servidor, el instalado en el
ordenador atacado, podrá escuchar en un puerto diferente cada vez que se
inicia. El propio programa se puede configurar para que notifique al
atacante del cambio de puerto de escucha.
La captura de passwords y textos introducidos en el teclado es aun mucho
más sencilla para un atacante. Aunque la posibilidad de capturar y
almacenar las pulsaciones del teclado era una posibilidad ya existente
en anteriores versiones, en SubSeven 2.2 se posibilita el envío
automático de dichas grabaciones de teclado de forma automática a una
dirección de e-mail. De esta forma se puede conseguir información sobre
passwords capturadas en cuadros de diálogo, passwords de red, de correo,
de conexión a Internet, etc.
Pero lo que aun lo hace más peligroso es su diseño modular. El grupo
creador de esta herramienta anuncia la próxima publicación de un SDK
(Software Development Kit) para la creación de plugins o módulos a
medida. Esto en combinación con la arquitectura modular del programa,
hará que al popular troyano sea más difícil de detectar que las
anteriores versiones.
antonior@hispasec.com
Más información:
Hispasec 27/1/2000. SubSeven 2.1 Gold, un nuevo troyano entra en escena:
http://www.hispasec.com/unaaldia.asp?id=457
SubSeven:
http://www.sub7files.com/
Internet Security Systems (ISS) X-Force:
http://xforce.iss.net/alerts/advise73.php
ZDNet. Updated backdoor tool gets even nastier:
http://www.zdnet.com/zdnn/stories/news/0,4586,2695851,00.html
Deja un comentario