Die DEUTSCHEN Trojaner-Seiten
Home
Neue Version SubSeven 2.2


Servergröße: 54.5K (nur Default Server, keine gejointen Programme)
Default Port(s): 1234, 27374 TCP (können beliebig verändert werden)
Auch Backdoor-G genannt

Einleitung:
Diese neue Version wartet mit einigen neuen Funktionen auf. Auch hat sich der Autor neue Autostart-Methoden einfallen lassen. Der neue Client ermöglicht im übrigen keine Steuerung älterer SubSeven Server.
Ich verzichte auf eine Liste der Funktionen, die mittels des Clienten auf ein infiziertes System ermöglicht werden. Alle denkbaren Features sind denkbar, die somit die völlige Kontrolle über den Computer des Opfers ermöglichen.
SubSeven 2.2 ist ohne Hilfe eines aktuellen Virenscanners nur sehr schwer zu ermitteln, da der Servername und das Programm-Icon abweichen kann.
Desweiteren wurde eine Funktion in der EditServer eingebaut, die es ermöglicht, dem installierten Server einen ständig wechselnden Namen zu geben. Die besagte Edit-Server bietet alleine über 200 verschiedene Programm-Icons zur Auswahl (auch Icons namenhafter AntiViren Programme !)
Hinzu kommt ausserdem die Tatsache, dass der Server durch viele Process Viewer nicht mal mehr angezeigt wird.
Ich hatte den grossen Vorteil, mir verschiedene Server mittels der EditServer "einzurichten", den ich selber auch gut wiederfinden konnte. Trotzdem musste ich diese Beschreibung so allgemein wie nur möglich halten.







Erkennung und Entfernung von SubSeven

Zuerst müssen alle Autostart-Methoden von SubSeven 2.2 überprüft und gegebenfalls gelöscht werden. Bitte zuerst alle Autostart-Einträge löschen, noch KEINE Trojaner-Dateien !!!


1. Übliche Run-Einträge in der Registry
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run oder
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunServices
Eintrag unter RunDLL32r key. Bevor dieser Schlüssel gelöscht wird, unbedingt den Inhalt (vor allem Pfad und Dateiname !) merken bzw. notieren. Das gilt im übrigen für ALLE Löschungen aus der Registry und anderen Autostart-Methoden ! Diese Informationen werden später benötigt, um die Server-Dateien zu entfernen.

2. Registry Installed Components
HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\
Der Default-Wert lautet: hyil\StubPath - C:\WINDOWS\SYSTEM\hyil.exe
ACHTUNG ! Auch dieser Name kann stark abweichen ! Es ist kaum möglich diesen Eintrag zu finden, wenn der Dateiname nicht bekannt ist.
Am Besten kann der Eintrag gelöscht werden, wenn du einen aktuellen Virenscanner dein Laufwerk c:\ durchsuchen lässt. Der Scanner müsste zwei infizierte Dateien finden, die unterschiedliche Namen tragen. Danach öffnest du den obigen Pfad der Registry und suchst unter "Installed Components" nach einem Ordner, der einen der beiden Namen der Trojanerdateien trägt. Dieser muss dann gelöscht werden. Nicht vergessen ! Vorher die enthaltenen Information notieren.


3. Registry Common Startup Schlüssel
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
Currentversion\explorer\User shell folders.
Der Eintrag heisst: C:\WINDOWS\SYSTEM\dv\
Unter diesem Pfad befindet sich auch der Server, sowie im Verzeichnis C:\Windows\System
Wobei lediglich der Server im Windos\System Verzeichnis über den im anderen Verzeichnis befindlichen Server geladen und quasi durch Windows verwendet wird.

4. System.ini unter [boot]
shell=Explorer.exe c:\windows\sytem\"name des Trojaners".exe
Hier sollte nur shell=Explorer.exe stehen. Alles was sich dahinter befindet, bitte löschen.

5. Win.ini
load=c:\windows\system\"name des Trojaners.exe"
Hinter "load=" sollte überhaupt kein Eintrag stehen.

6. Methode über "Explorer.exe" auf Laufwerk C:\
Aufgrund eines Bugs in Windows, wird immer zunächst die "erste explorer.exe" ausgeführt (also in Verzeichnis C:\), bevor die eigentliche explorer.exe (in c:\windows\) gestartet wird. Die explorer.exe in c:\ bewirkt, dass der Sub7 Server zunächst geladen wird, der sich im Verzeichnis c:\windows\system befindet.
Die Datei "explorer.exe" aus dem Verzeichnis c:\ entfernen.

Nachdem wirklich alle gelöschten Informationen notiert wurden, sollte am Besten über die Windows-Suchfunktion (erreicht man über "Start - Suchen") zunächst alle Trojaner-Dateien einmal gesucht und versucht werden zu löschen. Dieses wird in einigen Fällen nicht gelingen, da die Datei(en) von Windows verwendet werden.
Danach System neu starten und wieder die Suchfunktion aufrufen und nach allen Trojaner-Dateien suchen lassen, die sich aus den Autorun-Einträgen ergeben haben. Diese können nun entfernt werden, da die Autostart-Einträge bereits gelöscht wurden.

Wie in diesem Bericht bereits mehrfach erwähnt, weichen die Servernamen ab und können "nur so" nicht ohne weiteres gefunden werden.
Daher meine Empfehlung:
Einen aktuellen Virenscanner mit neuestem Update das Laufwerk c:\ scannen lassen. Die Antiviren - Software meldet alle Dateien, die den SubSeven Server beinhalten. Können diese dann jedoch wiederum nicht gelöscht werden, da diese von Windows verwendet werden, gehe noch einmal zu Punkt "2" und wiederhole die Prozedur.

Wichtiger Hinweis:
Nicht jeder Autorun-Eintrag muss unbedingt ein Trojaer bedeuten. Schon gar nicht im Fall "win.ini".

Im übrigen müssen auch nicht alle hier aufgeführten Autostart-Methoden gleichzeitig auf einem System installiert worden sein. Die EditServer lässt auch die Konfiguration einer einzigen hier erwähnten Autostart-Methode zu.

(tt) 11.03.2001