Sub7
| Originalförfattare | mobman |
|---|---|
| Förhandsgranska release | 0,9 / 2014 |
| Skrivet i | Delphi |
| Operativ system | Microsoft Windows |
| Typ | Trojansk häst (dator) |
| Licens | gratisprogram |
| Hemsida |
Sub7 , eller SubSeven eller Sub7Server , är ett trojansk hästprogram som ursprungligen släpptes 1999. Dess namn härleddes genom att stava NetBus baklänges ("suBteN") och byta ut "tio" med "sju". Från och med juni 2021 fortsätter utvecklingen av Sub7.
Eftersom dess typiska användning är att tillåta oupptäckt och obehörig åtkomst, beskrivs Sub7 vanligtvis som en trojansk häst av säkerhetsexperter. Från och med version 2.1 (1999) kunde den styras via IRC . Som en säkerhetsbok formulerade det: "Detta satte scenen för alla skadliga botnät att komma." Dessutom har Sub7 vissa funktioner som anses vara till liten användning i legitim fjärradministration som tangenttryckningsloggning .
Sub7 arbetade på Windows 9x och på Windows NT -familjen av operativsystem, upp till och inklusive Windows 8.1 .
Historia
Sub7 har påståtts vara skapandet av en hacker med handtaget "mobman". Vissa källor hävdar att programvaran har utvecklats av en okänd rumänsk programmerare. Fram till idag påstår sig "mobman" vara skaparen, men det ursprungliga ägandet av programvaran är ännu inte tydligt tillskrivet en specifik individ.
Ingen utveckling hade skett på flera år tills en ny version var planerad att släppas den 28 februari 2010.
2006 (sub7legends.net) öppnades igen med hundratusentals användare och har hållit Sub7 vid liv med rena nedladdningar och support och nya programvaruversioner.
SubSeven 2.3, som släpptes den 9 mars 2010, förnyades för att fungera på alla 32-bitars och 64-bitarsversioner av Windows och inkluderar TCP-tunnel och lösenordsåterställning för webbläsare, snabbmeddelanden och e-postklienter. Den var väldigt buggig och skrevs inte i Delphi som den ursprungliga författaren använde. Webbplatsen som påstod sig göra detta är inte längre aktiv.
I juni 2021 släpptes en helt ny alfaversion med liknande utseende och känsla som den ursprungliga versionen, men den är inte utvecklad av den ursprungliga författaren.
Arkitektur och funktioner
Som andra fjärradministrationsprogram distribueras Sub7 med en server och en klient . Servern är programmet som värden måste köra för att få sina maskiner fjärrstyrda, och klienten är programmet med ett GUI som användaren kör på sin egen maskin för att styra servern/värddatorn. Datasäkerhetsexperten Steve Gibson sa en gång att med dessa funktioner tillåter Sub7 en hackare att ta "nästan fullständig kontroll" över en dator. Sub7 är så invasiv, sa han, att alla som har det på sin dator "lika väl kan ha hackaren stående bredvid sig" när de använder sin dator.
Sub7 har fler funktioner än Netbus (webbkamerafångst, omdirigering av flera portar, användarvänlig registerredigerare, chatt och mer), men den försöker alltid installera sig själv i Windows-katalogen och den har ingen aktivitetsloggning.
Enligt en säkerhetsanalys inkluderar Sub7:s serversida (måldator) funktioner:
- inspelning:
- ljudfiler från en mikrofon som är ansluten till maskinen
- bilder från en ansluten videokamera
- skärmdumpar av datorn
- hämta en lista över inspelade och cachade lösenord
- ta över ett ICQ- konto som används på målmaskinen (på den tiden den mest populära meddelandetjänsten); tillagd i version 2.1. Detta inkluderade möjligheten att inaktivera den lokala användningen av kontot och läsa chatthistoriken
- funktioner som förmodligen var avsedda att användas för skämt eller irriterande syften, inklusive:
- ändra skrivbordsfärger
- öppna och stänga den optiska enheten
- byta musknappar
- stänga av/på monitorn
- "text2speech" röstsyntes som gjorde det möjligt för fjärrkontrollen att få datorn att "prata" med sin användare
- penetrationstestfunktioner , inklusive en portskanner och en portomdirigering
På klientsidan hade programvaran en "adressbok" som gjorde det möjligt för styrenheten att veta när måldatorerna är online. Dessutom kunde serverprogrammet anpassas innan det levererades av en så kallad serverredigerare (en idé lånad från Back Orifice 2000 ) . Anpassningar som är möjliga med Sub7-serverredigeraren inkluderade att ändra portadresserna, visa ett anpassat meddelande vid installationen som kan användas till exempel "för att lura offret och maskera programmets verkliga avsikt". Sub7-servern kan också konfigureras för att meddela kontrollanten om IP-adressändringar för värdmaskinen via e-post, ICQ eller IRC.
Anslutningar till Sub7-servrar kan lösenordsskyddas med ett valt lösenord. En djupare omvänd konstruktionsanalys avslöjade dock att "SubSevens författare har i hemlighet inkluderat ett hårdkodat huvudlösenord för alla sina trojaner! Trojanen själv har blivit trojanerad". För version 1.9 är huvudlösenordet predatox och 14438136782715101980 för versionerna 2.1 till 2.2b. Huvudlösenordet för SubSeven DEFCON8 2.1 Backdoor är surt.
Användningar och incidenter
SubSeven har använts för att få obehörig åtkomst till datorer. Även om den kan användas för att göra ofog (som att få ljudfiler att spela upp från ingenstans, ändra skärmfärger etc.), kan den också läsa tangenttryckningar som inträffade sedan den senaste uppstarten – en funktion som kan användas för att stjäla lösenord och krediter. kortnummer.
2003 började en hackare distribuera ett spanskspråkigt e-postmeddelande som påstods vara från säkerhetsföretaget Symantec som användes för att lura mottagare att ladda ner Sub7.
Även om Sub7 inte i sig är en mask (har inga inbyggda funktioner för självförökning) har den utnyttjats av vissa maskar som W32/Leaves (2001).
Vissa versioner av Sub7 inkluderar kod från Hard Drive Killer Pro för att formatera hårddisken, den här koden kommer bara att köras om den matchar ICQ- numret "7889118" (mobmans rivaliserande trojansk författare.)
Se även
- Ryggöppning
- Back Orifice 2000
- Trojansk häst (dator)
- Skadlig programvara
- Bakdörr (dator)
- Rootkit
- MiniPanzer och MegaPanzer
- Filpärm
