Diese neue Version, befindet sich seit dem 20. Juni 1999 im Umlauf. Dieser Trojaner, oder auch Backdoor- Trojaner genannt zählt zu den stärksten Bedrohungen, welche zur Zeit im Netz kursieren.
Ein eindeutiges Erkennungsmerkmal kann ich von meiner Seite leider nicht geben. Dieses ist aus vielen Gründen nicht möglich. Das vollständige Original-Programm-Set besteht aus folgenden Files: Skin-Dateien (die Programmoberflächen) EditServer.exe (zum editieren des Servers, also Trojaners) [221 KB] sub7.exe (der Client) [519 KB] server.exe [335 KB]
In der Regel wird jedoch nur der Server verbreitet, welcher den Zugriff auf das infizierte System mittels des Clienten ermöglicht. Die EditServer.exe dient zu dem Zweck, den Server in nahezu beliebigen Variationen dahingehend zu verändern, dass dieser sich als äusserst schwer identifizierbar erweist. - Zahlreiche Manipulationen/Veränderungen des Servers sind möglich bzw. wählbar, bevor dieser auf einem System eingeschleust werden soll. Dazu gehören z.B.:
-Hinzufügen der Serverdatei an ein beliebiges Programm, welches jedoch NICHT in seiner Funktion eingeschränkt wird und somit ebenfalls "voll funktionsfähig" ist.
-Änderung der Originalgrösse des Servers
-Änderung des Programmicones
-Wahl eines Dateinamens des Servers, welcher sich nach Ausführung in das betroffende System installieren soll.
-Auf Wunsch kann ein Keylogger installiert werden, welchem ebenfalls einen Namen gegeben werden kann.
-Wo sich das Programm zwecks Autostart (also mitstarten des Servers, nach einem Systemstart.
-Definieren eines Passwortes, damit nur bestimmte Leute auf das zu infizierende System zugreifen können.
-Welcher Port des befallenden Systemes genutzt werden soll bzw. geöffnet wird.
Sollte ein System mit dem Server im Originalzustand infiziert sein, wird eine Datei Namens mtmtask.DL im Verzeichnis C:\Windows\ angelegt. Desweiteren erfolgt eine Eintragung in der System.ini unter dem Parameter:
shell=Explorer.exe mtmtask.dl
Somit ist gewährleistet, dass der Server bei jedem Neustart des Systemes ebenfalls ausgeführt wird. Da mit Hilfe der EditServer.exe jedoch auch andere Wege der Eintragung zwecks Autostart gewählt werden können, muss hier nicht unbedingt eine Eintragung erfolgt sein. Ebenfalls nicht dieser Dateiname ! ! VORSICHT ! ! !
Subseven Version 1.9 eindeutig manuell zu entlarven ist so gut wie nicht möglich, da sämtliche Eigenschaften umgeändert werden können. Um zu prüfen, ob ein System überhaupt befallen ist, kann nur durch Prüfung der Möglichkeit erfolgen, wo sich der Server zwecks Autorun im System einträgt. Hierzu sind folgende Pfade möglich bzw. zu überprüfen:
Win.ini
Eine der häufigsten Methoden ist die Eintragung in die Win.ini unter den Parametern "Load=" oder "Run=". Vorsicht ! Manche Trojanische Pferde tragen sich nicht direkt hinter der Parameter-Bezeichnung ein, sondern nach zahlreichen Leerzeichen, damit dieses nicht sofort erkannt wird. Scrolle also mit dem unteren Balken einfach mal nach rechts (falls denn ein solcher Balken vorhanden sein sollte. Den besten Zugriff auf die Win.ini hast Du, indem Du auf Windows-Start gehst - Ausführen - sysedit.exe eingeben - OK klicken. Nun werden verschiedene Fenster geöffnet, auch die Win.ini. Die sysedit.exe wirst Du noch öfter brauchen, wenn Du die Beschreibungen auf meinen Seiten weiter aufmerksam liest.
System.ini
Eine Eintragung erfolgt unter dem Paramter "shell=". Vorsicht ! Hier ist schon eine Eintragung Namens Explorer.exe enthalten. - Die nicht löschen !!! Es könnten jedoch hinter Explorer.exe noch weitere Eintragungen erfolgen. Die System.ini findest Du auf dem gleichen Weg, wie unter Win.ini beschrieben.
Windows-Registrierung
Zuerst rufst Du die Registrierung Deines Systems auf. - Diese kannst Du u.a. in folgenden Schritten tun: Windows-Start - Ausführen - regedit eingeben - OK klicken. - Ein Programm mit scheinbar unendlichen Eintragungen/Ordnern öffnet sich. Jedoch keine Angst, uns interessieren lediglich einige, wenige Pfade:
HKEY_LOCAL_MACHINE->SOFTWARE->Microsoft->Windows ->CurrentVersion-
>Run HKEY_LOCAL_MACHINE->SOFTWARE->Microsoft->Windows-
>CurrentVersion->RunServices
Nur in den soeben genannten drei Möglichkeiten könnte sich Subseven 1.9 eingetragen haben. Der Server selber installiert sich jedoch IMMER in das Verzeichnis: C:\Windows\"Servername".
Mitunter wird noch ein Keylogger, dessen Name/Groesse ebenfalls variieren kann im Verzeichnis: C:\Windows\System\"Name des Keyloggers" angelegt. Die Datei alleine kann jedoch keinen Schaden anrichten ! ! !
Bei der Entfernung geht man vor, wie es in meiner Rubrik "Beseitigung" beschrieben ist.
Subseven ermöglicht das Ausführen extrem zahlreicher Funktionen auf einem entfernt, verseuchten System. Diese Funktionen reichen von harmlosen hinterlassen einer Nachricht, über das Anzeigen des Desktops bis hin zur Zerstörung des infizierten Systemes.
Eine hohe Verbreitung ist zu erwarten, da dieses Programm auch für Laien sehr einfach bedienbar ist.
Das Anti-Viren-Programm Kaspersky Anti-Virus (ehemals AVP) ist bereits in der Lage diesen Trojaner zu identifizieren. http://www.datsec.de |