| Die neueste Version des berühmt/berüchtigten Backdoor-Trojaners, wartet wieder mit vielen Funktionen auf. Darauf einzugehen, was mittels des Clienten auf infizierten Systemen (über die Serverdatei) im Internet alles möglich ist, würde den Rahmen dieser Seite einfach sprengen.
Hier ein paar (sehr wenige) Funktionen, welche man nicht bei jedem Trojaner findet:
- Überwachung des Opfers per WebCam
- Mitverfolgung verschiedener Messenger-Dienste wie z.B. AIM, Yahoo, Microsoft etc.
- Herunterfahren/Auschalten des Rechners
- FTP-Server einrichten (Upload u. Download von Files möglich)
In der neuesten SubSeven Version ist nahezu alles möglich, was sich ein User ausdenken mag. Ebenso ist auch wieder eine "verbesserte" EditServer.exe vorhanden, welche den Anwender "Schritt für Schritt" zur Veränderung des Servers "begleitet".
Ich verzichte ganz bewusst auf meinen Seiten auf eine Erklärung zur Erkennung und Beseitigung von SubSeven 2.0. Die Konfigurationsmöglichkeiten des Servers sind so weit gefächert, dass auf diese ins Detail nicht mehr eingegangen werden können.
Der Server kann z.B. in seiner Grösse, Namen, Eintragung zwecks Autorun auf infizierten System, Fehlermeldungen bei Ausührung der Serverdatei und vieles mehr verändert werden. Ein manuelle Erkennung scheint nahezu unmöglich. Vor allem für weniger erfahrende Anwender. Ebenso (wie auch bei diversen Vorgängerversionen) beinhaltet die EditServer wieder einen Exe-Binder. Mit Hilfe des Exe-Binders kann der Server (also der eigentliche Trojaner) mit anderen Dateien verknüpft bzw. darin integriert werden. Das könnten harmlose, bekannte Programme, aber auch Bilddateien (nicht unter allen Formaten mögl.) und vieles mehr sein.
Es ist davon auszugehen, dass auch in den nächsten Tagen entsprechende Updates seitens der AntiVirenSoftware Hersteller erscheinen werden. Ob auch wieder alle Variationen von SubSeven 2.0 (welche leider nun mal möglich sind bzw. editiert werden können) erkannt werden, wie bei den älteren Versionen, kann an dieser Stelle noch nicht gesagt werden. |