SubSeven Version 2.1 (Sub7, Backdoor G), Eigenschaften, Erkennung und Entfernung

SubSeven ist einer der meisst verbreiteten Trojaner (Backdoors) im Internet überhaupt. Die Anzahl der infizierten Systeme im Internet weltweit kann noch nicht einmal grob geschätzt werden. Die Meldungen über eine Infektion oder IP-Scans von SubSeven häufen sich auch in meiner Mailbox.
Diese Tatsache beruft sich vor allem aufgrund der einfachen Bedienung des Clienten und der EditServer.exe. Dazu kommen die zahlreichen Funktionen von SubSeven, welche man in dieser Form nur bei wenigen anderen Backdoors in dieser geballten Form vorfindet.

SubSeven 2.1 besteht aus den Dateien: Server.exe (der Trojaner, Grösse: 371 KB), EditServer.exe (zum editieren/konfigurieren des Servers, Grösse: 395 KB) und dem Clienten SubSeven.exe (Grösse: 544 KB). Die Grössenangabe in Klammern bei der Server.exe bezieht sich auf die Originalversion (Defaultwert), die in sehr vielen Fällen abweichen kann.

Funktionen & Eigenschaften von SubSeven 2.1
Mittels des Clienten ist es Anwendern möglich auf infizierte Systeme (Server von SubSeven) zuzugreifen, die sich in das Internet eingewählt haben. Hier einige Beispiele, welche Möglichkeiten SubSeven2.1 dem Anwender des Clienten bieten:

- IP scannen nach infizierten Systemen, die sich online befinden
- umbenennen, transferieren (vom und auf das infizierte System) und löschen von Dateien und Ordnern
- PC-Informationen einholen
- Keylogger aktivieren und auslesen (auch Daten, die offline geschrieben wurden !)
- FTP-Verbindung herstellen
- Filesuche auf infiziertem System
- drehen des Desktops
- Chatfunktion
- Bildschirmschoner aktivieren

Die hier genannten Funktionen beinhalten lediglich einen kleinen Ausschnitt. Die komplette Beschreibung aller Funktionen von SubSeven würde den Rahmen dieser Dokumentation sprengen.

Die Icone von SubSeven:

SubSeven.exe (Client) EditServer.exe

Die genaue Identifizierung von SubSeven2.1 erweist sich als recht schwierig, wenn man davon ausgeht, dass der Anwender nicht weiss, ob und mit welchem Trojaner er infiziert ist.
Mit Hilfe des Programmes EditServer.exe ist es dem Anwender (Person, die den Trojaner verbreiten will) möglich, den Server (Trojaner) nach seinen "Wünschen" und "Anforderungen" zu konfigurieren.
Folgende Konfigurationsmöglichkeiten sind gegeben (nur einige Beispiele, keine Vollständigkeit aller Möglichkeiten !):

- Autorun-Methode (damit der Trojaner bei jedem Systemstart ebenfalls geladen wird) Auf die Autorun-Methoden gehe ich in dieser Dokumentation noch genauer ein
- Auswahl des Icons für die Serverdatei
- Benachrichtigungsfunktion auswählen (der Anwender bzw. "Hacker" kann automatisch benachrichtigt werden, wenn sich der infizierte Computer in das Internet eingewählt hat, somit ist ein IP-Scan nicht mehr erforderlich). Der "Hacker" kann wahlweise per E-Mail, ICQ oder IRC benachrichtigt werden. Die notwendigen Daten können mittels der EditServer.exe vorkonfiguriert werden.
- Auswahl des zu verwendenen Ports mit dem die Verbindung hergestellt werden soll
- Passwortschutz des Servers (nur die Person, welche diesen Server [Trojaner] verbreitet hat, kann auf das infizierte System zugreifen)
- Angabe des Dateinamens unter dem sich der Server in das System installiert
- Einbinden einer "Fehlermeldung", nachdem der ahnungslose User die Server-Datei ausgeführt hat
- Exe-Binder (ermöglicht den Server mit einer anderen Datei (z.B. EXE, BMP etc.) zu veschmelzen

Erkennung und Entfernung von SubSeven2.1

SubSeven als solches zu erkennen, wird dem normalen Anwender kaum möglich sein, da der Name, die Grösse noch das Icon immer wieder abweichen. Eine 100%ige Beschreibung zur eindeutigen Identifizierung gibt es kaum !

Mitunter ist SubSeven jedoch daran zu erkennen, dass sich unter folgendem Pfad in der Registrierung der Ordner "SubSeven" befindet (jedoch meisst nicht der Fall !) [HKEY_LOCAL_MACHINE\Software\SubSeven].

Meine Tests haben ergeben, der Server installiert sich immer unter den Pfad: c:\windows\subseven.com

SubSeven2.1 kann sich unter verschiedenen Auto-Run-Funktionen eintragen, die zuvor mittels der EditServer.exe eingestellt wurden. ACHTUNG ! Auch besteht die Möglichkeit, ALLE bzw. mehrere Autorun-Befehle gleichzeitig zu aktivieren um die Entfernung durch infizierte Anwender zu erschwehren !

Die EditServer.exe sieht folgende Runbefehle zur Konfiguration des Servers vor:

- registry-run
- registry-RunServices
- WIN.INI
- less known method
- _not_known method

Desweiteren kann der "KeyName" für die Registry-Einträge beliebig angegeben werden.
Die Beschreibungen auf dieser Seite zu den Run-Befehlen (in Wort und Bild) nenne ich der Einfachheit "subseven.com" und beziehen sich lediglich auf das Betriebssystem Windows 98 (SE).
Bevor die Datei "subseven.com" gelöscht werden kann, müssen zunächst alle Autorun-Befehle gefunden und entfernt werden. Beziehungsweise kann durch die Ansicht der Run-Befehle überhaupt erst einmal festgestellt werden, ob ein System infiziert ist oder nicht. VORSICHT beim löschen von Run-Befehlen, da sich hinter den eingetragenden Dateien auch harmlose Programme wie z.B. Deinstaller, Virenscanner etc. verbergen können.

registry-run

Die Bezeichnungen "WinLoader" & "subseven.com sind lediglich Beispiele, andere Namen möglich. Über die Windowsfunktion -Ausführen- "regedit" eingeben und den genannten Pfad aufrufen (über jeweiligen Doppelklick auf die Ordner-Icon mit der Mousetaste zu erreichen), Eintrag befindet sich links, diesen komplett entfernen.

registry-RunServices

Die win.ini erreicht man am Besten über die Windowsfunktion -Ausühren-, "sysedit" eingeben. Nun öffnen sich verschiedenen Fenster mit "Texten". Darunter ist auch die win.ini zu finden. SubSeven kann sich hier unter den Befehl "run=" eintragen. Sollte dieses der Fall sein, den Eintrag entfernen (Handhabung wie in einer normalen Text-Datei) und die Änderung speichern.

less known method

Übrigens eine recht "beliebte" Methode von Trojanischen Pferden, hier ihren Run-Befehl zu setzen. Der Befehl dazu befindet sich hinter der Eintragung "shell=Explorer.exe" subseven.com. Die system.ini erreicht man am Besten über die Windowsfunktion -Ausühren-, "sysedit" eingeben. Nun öffnen sich verschiedenen Fenster mit "Texten". Darunter ist auch die system.ini zu finden. Bei der Entfernung ist unbedingt darauf zu achten, dass NUR der Eintrag HINTER "Explorer.exe" gelöscht wird. "Explorer.exe" ist Bestandteil des Betriebssystemes und darf in keinem Fall gelöscht werden !!!

_not_known method

Die wohl schwierigste Methode um diesen Autorun-Eintrag überhaupt zu finden. Der oben genannte Eintrag ist unter folgendem Pfad in der Registrierung zu finden, den man durch jeweiligen Doppelklick auf die Ordner-Icone mit der Mousetaste erreicht.
HKEY_CLASSES_ROOT\exefile\shell\open\command
Auf der rechten Seite (rechtes Fenster der Registrierung) befindet sich der oben abgebildete Eintrag. Diesen NICHT komplett entfernen ! ! !
Mit der linken Mousetaste auf "{Standart}" klicken. Jetzt erscheint ein Auswahlmenü, hier "Ändern" auswählen.
Den entsprechenden Eintrag (also "windos.exe.....) zunächst entfernen und durch folgende Zeichenfolge ersetzen:

"%1" %*

Die Datei "windos.exe", welche sich im Verzeichnis c:\windows\system\ befindet, kann gelöscht werden.
Nachdem nun der oder die Run-Befehl(e) entfernt wurden, muss das Betriebssystem neu gestartet werden. Danach wird der Server (hier im Beispiel als "subseven.com" genannt) aus dem Verzeichnis c:\windows\"subseven.com" gelöscht.

Diese Dokumentation bezieht sich lediglich auf die Version 2.1 von SubSeven und wurde auf dem Betriebssystem Windows 98 durch meine Person getestet.
Keine Gewähr auf Vollständigkeit. Ich übernehme keinerlei Haftung für eventuelle Schäden, die durch den Anwender im Bezug auf meine Beschreibung entstanden sind.