Software Development && UnEthical Hacking
inicio hacking WiFu WiBOG MDB

Troyano SubSeven
General

Hace ya más de 10 años que conocí esta aplicación, y tengo que confesar que fue por ella que empezó mi gusto por el Hacking (me regodeaba con ver a la gente sorprendida por los mensajes de alerta o la bandeja de CD-ROM abriéndose sin razón aparente). Las herramientas de administración remota son de gran utilidad a pesar de la alta tasa de detección por parte de los antivirus, este es el primero de una serie de artículos relacionados con este tipo de troyanos.

SubSeven es una herramienta de administración remota o troyano de acceso remoto (RAT: Remote Access Trojan) el cual permite tener el control total de la maquina infectada sin el conocimiento del usuario, realizando todo tipo de tareas como: capturan la imagen en pantalla,  grabación de sonido, video, los eventos de teclado (keylogger), funciona como servidor FTP, permite el robo contraseñas, envío de mensajes con el formato de Windows, permite capturar paquetes de datos, redireccionar puertos, modificar las llaves de registro, deshabilitar la combinación Ctl+Alt+Del, cerrar la sesión de usuario, abrir y cerrar la bandeja de CD-ROM, invertir la pantalla y apagar o reiniciar la maquina, entre otras.  Así mismo permite la comunicación con el atacante a través de ICQ Internet Relay Chat (IRC) o email.

Los componentes de este troyano son:

editserver.exe: Permite realizar la configuración del archivo server.exe
server.exe: es el archivo servidor enviado a la maquina atacada para establecer la conexión.
SubSeven.exe: La herramienta cliente de administración remota.
ICQMAPI.dll: Componente indispensable para el funcionamiento de la aplicación cliente.

 

Archivo editserver.exe

Como se puede observar este componente permite configurar una gran cantidad de características en el backdoor (server.exe) como:

  1. Métodos de inicio
  2. Opciones de notificación
  3. Características de instalación
  4. Mecanismos de protección
  5. Cambio de icono, etc.

 

Analisis del archivo server.exe

 

A simple vista al ejecutar el archivo server.exe en la maquina afectada se abre el puerto TCP 27374, el cual queda a la espera de la conexión por parte de la aplicación cliente. Sin embargo no es realmente el proceso server.exe el encargado de abrir el puerto, a continuación se puede ver en detalle algunas características de su funcionamiento.

Creación de un Mutex para evitar que se ejecute dos o más veces en memoria:

 

Posteriormente crea un nuevo proceso en la carpeta C:\WINDOWS\ con nombre aleatorio (para este caso el nombre del proceso fue: piitrsjuybpeh.exe) y lo inicializa terminando así su operación:

 

El nuevo proceso piitrsjuybpeh.exe es el encargado de crear el socket y abrir el puerto TCP 27374.

 

Modificaciones en el registro de Windows

----------------------------------
Values added:29
----------------------------------

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\WinLoader: "hguyaprvcuf.exe"

HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\WINDOWS\hguyaprvcuf.exe:
"C:\WINDOWS\hguyaprvcuf.exe:*:Enabled:3.2.00"

HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\WINDOWS\hguyaprvcuf.exe: "C:\WINDOWS\hguyaprvcuf.exe:*:Enabled:3.2.00"

HKU\.DEFAULT\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\hguyaprvcuf.exe: "3.2.00"

HKU\S-1-5-21-73586283-616249376-1177238915-500\Software\Microsoft\Windows\ShellNoRoam\MUICache\@xpsp3res.dll,-20000: "Diagnóstico de red para Windows XP"

HKU\S-1-5-18\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\hguyaprvcuf.exe: "3.2.00"

Ver archivo completo

 

Funcionamiento de la aplicación cliente SubSeven.exe

Una vez ejecutado el troyano (backdoor server.exe), se ejecuta la aplicacion cliente y se realiza la conexión con la maquina víctima. Para estas pruebas el backdoor fue iniciado en 2 maquinas, una con Windows XP y la otra con Windows 7 (en este caso fue necesario iniciar el server.exe con permisos de administrador), las maquinas victima tienen la dirección IP: 192.168.100.226.

Una vez establecida la conexión podemos realizar cualquiera de las opciones mencionadas en la descripción del troyano:

Obtener información del equipo y modos de notificación

   

 

Obtener la información digitada en el teclado, para este proceso es necesario cargar una dll en la maquina infectada, este proceso se realiza automáticamente.

   

 

Crear una sesión de chat con el usuario:

   

 

Crear y enviar mensajes en formato Windows y habilitar servidor FTP

   

 

Buscar archivos y obtener passwords

   

 

Activar la cámara web e invertir la posición de la pantalla

   

 

Activar el micrófono y gravar el sonido ambiente, extras

   

 

Entrar en la Matrix, en lo personal es mi opción favorita ;)

   

 

Enlaces


What is a RAT (remote access Trojan)?
Remote access tools a growing threat to smartphones
Trojan: SubSeven.2.2. Ultima versión del peligroso troyano 2001
Enciclopedia de Virus: Subseven.213
Remote administration software
Danger: Remote Access Trojans

 

Inicio       ||       Comunidad       ||      Servicios       ||      Proyectos       ||      Hacking       ||      Contáctenos