SubSeven is nog gevaarlijker geworden

Nieuwe versie van 'achterdeur'-programma

14 maart 2001 | Jasper Koning Een nieuwe versie van SubSeven wordt via internet verspreid. SubSeven is een berucht en krachtig programma dat een achterdeur openzet waardoor aanvallers bijna complete controle krijgen over de computer van het slachtoffer.

De maker van SubSeven heeft plannen om een SDK (pakket voor ontwikkelaars van software) te maken, die een modulaire architectuur heeft. Daardoor wordt het nog moeilijker voor antivirusbedrijven om het tegen te houden. Versie 2.2 bevat een aantal nieuwe functies, waaronder ondersteuning voor proxies, de mogelijkheid om op een willekeurige poort te luisteren en informatie van machines waarop men is binnengedrongen te verzenden naar websites via CGI (Common Gateway Interface). Dat staat in een waarschuwing van Internet Security Services (ISS).

Vorige versies van SubSeven maakten vaak gebruik van 'agents' op de machines waarop ze binnendrongen. Deze 'agents' werden later gebruikt om gedistribueerde denial-of-service aanvallen op te starten. Met de nieuwe mogelijkheid om informatie van CGI te ontvangen, kunnen aanvallers de software gemakkelijk zo instellen dat informatie over de agents op een URL wordt gepubliceerd. Dit betekent dat er een lijst van machines die door SubSeven geïnfecteerd zijn kan worden gemaakt en deze kan worden verspreid onder aanvallers.

Nieuwe wapens
Deze geavanceerde functies maken van SubSeven een voorbeeld van een nieuwe generatie van gevaren voor de veiligheid van computers, zegt Chris Ruland, de directeur van het onderzoeksteam X-Force van de ISS. "We zien steeds meer dat verschillende gevaren samenvloeien, zoals DDoS, virussen en achterdeuren verenigd in één programma", zegt Ruland. "Het feit dat deze programma's steeds gemakkelijker zijn te bedienen, met bijvoorbeeld GUI's, laat zien hoe wijd verbreid deze programma's worden gebruikt en dat ze waarschijnlijk de wapens van keuze zijn tegen Windows machines."

SubSeven, ook bekend als Backdoor-G, is twee jaar geleden voor het eerst geïdentificeerd en het is vermoedelijk geschreven door de cracker Mobman. Meestal zit het verstopt in bestanden die in nieuwsgroepen worden gepubliceerd of die via e-mail worden verstuurd. Als het eenmaal op een besmette computer zit, dan kopieert het zichzelf naar de Windows-map met de originele naam van het bestand vanuit waar het opgestart werd. Het pakt dan een DLL (Dynamic Link Library) uit naar de systeemmap van Windows en bewerkt het Register van Windows, zodat SubSeven elke keer bij het opstarten van Windows wordt opgestart.

Versie 2.2
Deze nieuwe versie is nog sluwer. Naast de bovenstaande functies kan het ook een logbestand van de toetsaanslagen van een gebruiker e-mailen naar een bepaald adres, waardoor een aanvaller wachtwoorden en andere gevoelige informatie kan achterhalen. Daarnaast kan het netwerkverkeer worden verzameld, vastgelegd en vervolgens worden verstuurd naar de aanvaller. Deze kan dan die informatie gebruiken om nog meer aanvallen uit te voeren op het netwerk van het slachtoffer.

De ondersteuning voor SOCKS4 en SOCKS5 proxies maakt het moeilijker voor buitenlandse beveiligingsexperts en wetsdienaren om de aanvallers te achterhalen. De proxies kunnen door de aanvallers worden gebruikt om hun identiteit te verbergen door een andere machine toe te voegen tussen de aanvaller en het slachtoffer. SubSeven kon al FTP-servers openen, opgenomen wachtwoorden bijhouden, applicaties opstarten en verschillende ins Lees meer artikels over : subseven, virus, backdoor

bron: ZDNet