Sub7
Sub7, o SubSeven, è una popolare backdoor. Serve principalmente per infastidire, ad esempio nascondendo il puntatore del mouse, cambiando le impostazioni di sistema o aprendo siti web a carattere pornografico. Ma può benissimo essere usato con finalità criminali, come rubare numeri di carta di credito, in tal caso esso agisce da keylogger. Il suo nome deriva dalla parola "NetBus" (altro famoso trojan) letta al contrario ("suBteN") e dalla sostituzione del dieci ("ten") con il sette ("seven"). È stato rilevato per la prima volta il 6 giugno 1999.
Sub7 software | |
---|---|
Client di Sub7 2.1.5 Beta | |
Genere | Sicurezza informatica |
Sviluppatore | mobman |
Ultima versione | 2.3 2010 (9 marzo 2010) |
Sistema operativo | Microsoft Windows |
Linguaggio | Delphi Object Pascal |
Licenza | Freeware (licenza non libera) |
Sito web | sub7crew.org |
Pericolosità
modificaSub7 si diffonde via email, pertanto un primo filtro alla sua diffusione è il buon senso dell'utente, che dovrebbe evitare di eseguire file poco sicuri. Inoltre questa backdoor è solitamente rilevata da un antivirus e fermata da un firewall. Queste tipologie di software sono integrate in quasi ogni sistema operativo, pertanto è sempre più difficile che questa backdoor riesca a penetrare le difese native del computer. Tuttavia, se l'eseguibile è compresso dentro un archivio, magari in formato ZIP, qualche antivirus datato potrebbe non essere in grado di riconoscerlo. Gli antivirus di ultima generazione (anche quelli gratuiti) riescono a controllare dentro gli archivi, per cui questo problema è quasi totalmente risolto. Il trojan è capace di infettare solo i computer con installato il Sistema Operativo Windows, pertanto è innocuo per gli utenti GNU/Linux e Mac.
L'autore
modificaQuesto software è stato inizialmente sviluppato da mobman. Si diceva in giro che era morto o che aveva perso l'interesse sullo sviluppo del progetto ma adesso l'ultima notizia risale al 20 agosto 2009 ed in essa l'autore afferma che non è morto e che sta attuando dei miglioramenti al programma.[1].
Funzionamento
modificaCome molti altri trojan horse, Sub7 è composto da due applicativi: un server e un client. Il server è il programma che la vittima deve eseguire (inconsapevolmente) affinché il suo calcolatore possa essere infettato, mentre il client (dotato di un'interfaccia grafica) permetterà all'attacker di controllare il server dalla propria postazione. Fornisce inoltre un terzo programma, chiamato EditorServer, che permette di configurare il server, impostando un indirizzo email al quale mandare l'IP della vittima. Sub7 consente ai cracker di inserire una password nel server, cosicché solo chi la conosca potrà accedere al pc della vittima. Le vecchie versioni di Sub7 prevedevano inoltre una "Master password", essa permetteva il libero accesso alla macchina infetta, sostituendosi alla personale password, rendendola di fatto inutile. Spesso la master password era 14438136782715101980 ma questa "funzione" è stata eliminata nelle ultime release.
Caratteristiche
modifica- Installa un server FTP
- Visualizza i file del sistema
- Cattura lo schermo
- Cattura lo schermo in tempo reale (come un server VNC)
- Apre e chiude programmi
- Mostra popup e finestre di dialogo
- Fa cadere una connessione dial-up
- Riavvia il computer da remoto
- Apre/Chiude lo sportello del CD-ROM
- Modifica le informazioni del registro
Dopo che Sub7 è avviato effettua i seguenti cambiamenti
- Si copia e si rinomina in maniera casuale (come Eutccec.exe) nella cartella \Windows o \Windows\System.
- Aggiunge questo file alla lista dei programmi auto-avvianti nel file Win.ini.
- Modifica le seguenti chiavi del registro per fare in modo che venga eseguito in automatico:
HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Il confronto con Netbus
modificaSub7 è sempre stato considerato il grande rivale di Netbus. Pur avendo più funzioni (catturare immagini dalla webcam, reindirizzamento su più porte, un editor del registro di sistema user-friendly, una chat ed altro), è penalizzato sia dalla mancanza di un sistema di loggin delle attività della vittima sia dal salvarsi nella directory di windows, che lo rende facilmente rilevabile. Va anche detto che Sub7 è un po' meno stabile rispetto a NetBus.
Curiosità
modificaAlcune versioni del client contengono un codice Hard Drive Killer Pro, capace di distruggere l'Hard Disk del nemico dell'autore. Il codice controlla se sul pc è memorizzato un account ICQ e se questo dovesse combaciare con un numero specifico (7889118, il numero ICQ di Sean Hamilton, un rivale dell'autore del trojan) danneggerebbe il disco rigido.
Note
modifica- ^ (EN) SubSeven Official Website News, in hackpr.net. URL consultato il 18-05-2010 (archiviato dall'url originale il 14 febbraio 2010).
Collegamenti esterni
modifica- (EN) https://web.archive.org/web/20090118080440/http://www.hackpr.net/~sub7/ sito ufficiale attuale
- (EN) https://www.symantec.com/security_response/writeup.jsp?docid=2001-020114-5445-99 Scheda di Sub7 sul sito della Symantec
- Intervista a mobman, su guide.supereva.it. URL consultato il 29 gennaio 2009 (archiviato dall'url originale il 27 febbraio 2013).