BackOrifice y NetBus son sin duda los troyanos más conocidos pero hay muchos más, cada día aparece alguno nuevo por eso hay que estar prevenido y tener cuidado. En esta ocasión nos hacemos eco de SubSeven 2.1 Gold, un nuevo troyano de altas capacidades y gran peligro que ha aparecido recientemente.
Realmente no se trata de un nuevo troyano, como bien indica su número de versión. En esta ocasión nos encontramos ante un troyano ya clásico pero que incluye una gran cantidad de nuevas características que lo hacen distinguirse de los demás.
Como otros troyanos similares consta de dos partes, trabajando como una aplicación cliente-servidor la parte que se instala en el ordenador atacado hace las veces de servidor, mientras que la parte que emplea el atacante es el cliente.
Esta nueva versión de SubSeven incluye nuevas características como libro de direcciones, visor de procesos, explorador de Ips remotas. webcam, texto a voz, grabador de teclado, ICQ takeover, espías de ICQ, Microsoft Messenger y Yahoo Messenger, visor de portapapeles, informaci¢n del ordenador atacado, movimiento del rat¢n remoto, abrir y cerrar la unidad del CD-ROM, control del sistema de archivos (creaci¢n, borrado y edici¢n de archivos y directorios) y un largo etc’tera de posibilidades.
Subseven 2.1 Gold ocupa varios puertos por defecto dependiendo de su funci¢n, como el 27374 TCP para sus acciones normales, el 54283 TCP para espiar el ICQ mientras que la grabaci¢n del teclado se realiza a trav’s del 2773 TCP. Aunque todos estos puertos pueden cambiarse a gusto del atacante.
La forma de eliminaci¢n de este troyano depender de la forma en que el atacante lo haya configurado. Si el usuario malicioso emple¢ la versi¢n por defecto, se deber emplear cualquier editor de texto para abrir el system.ini (generalmente en c:windowssystem.ini) y modificar la entrada shell=Explore MSREXE bajo [boot] a shell=explore.exe. Tras ello, se debe reiniciar el ordenador. Por oltimo se puede eliminar el archivo troyano MSREXE.exe del directorio Windows.
Si el atacante configur¢ el servidor para iniciarse con un m’todo desconocido se deber proceder de otra forma para su eliminaci¢n, en primer lugar se cambiar el valor de la llave del registo HKEY_CLASSES_ROOTexefileshellopencommand a «». Tras ello, se reiniciar el ordenador y se borrar el archivo troyano MSREXE.exe del directorio Windows.
Si el atacante configur¢ el troyano para iniciarse con el win.ini se deber emplear un editor de texto para modificar el archivo win.ini (generalmente en c:windowswin.ini) y eliminar la l¡nea run=MSREXE.exe bajo [Windows]. Tras lo que ya s¢lo resta reiniciar y eliminar el archivo troyano MSREXE.exe.
Por oltimo, tambi’n se puede configurar SubSeven para iniciarse a trav’s del registro, en cuyo caso se debe ejecutar regedit.exe y eliminar la clave winloader del registro localizada en HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun o en HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunS ervices. Como anteriormente basta reiniciar el ordenador y eliminar MSREXE.exe.
M s informaci¢n:
SubSeven
http://subseven.slak.org/
Antonio Ropero
antonior@hispasec.com
