TROJ_SUB722 — новый член многочисленного семейства троянских коней под именем «SubSeven». Все члены этой семейки представляют собой утилиты скрытого администрирования компьютеров в сети (backdoor) с удаленного терминала, по возможностям напоминающие «Backdoor.BO»(aka Back Orifice trojan).
Как и другие backdoor-троянцы, «SUB722» содержит серверную и клиентскую компоненты. Помимо этого этот троянец несколько усовершенствован и имеет новые функциональные возможности по сравнению со своими предшественниками.
Удаленный «пользователь», запуская клиентскую часть троянца, может получать полный доступ на инфицированные компьютеры, на которых установлена серверная компонента троянца. Обе компоненты являются настраиваемыми: т.к. они (компоненты) поддерживают специальные плагины, в них могут быть внесены новые функции. Кроме того, SUB722 содержит функцию EditServer, позволяющую удаленному клиенту создавать собственную версию серверной компоненты и конфигурировать ее дистанционно.
После выполнения серверной части троянца на зараженном компьютере в системный каталог Windows (для Windows 9x) или WindowsNT (для Windows NT) записывается файл троянца, который имеет случайное имя.
Для своего запуска после перезагрузки инфицированной системы троянец применяет один из пяти методов:
- модифицирует секцию авто-запуска системного реестра:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRun %randomkeyname%=%windowssystem%»randomname»или
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRunServices %randomkeyname%=%windowssystem%»randomname» - модифицирует системные файлы WIN.INI и SYSTEM.INI
- создает свою директорию, добавляя в системный реестр ключ:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentversionexplorerUser Shell Folders Common Startup=%trojancreatedfolder% - инсталлирует себя как компонент, создавая в системном реестре ключ:
HKEY_LOCAL_MACHINESoftwareMicrosoftActive
SetupInstalled Components %randomkeyname%=%windowssystem%»randomname» - создает копию себя в виде файла «EXPLORER.EXE» в корневом каталоге
С помощью клиентской консоли удаленный хакер подключается к зараженной машине и получает полный контроль над ней. Троянец позволяет выполнять на инфицированном компьютере различные функции в зависимости от установленных на нем плагинов:
- TROJ_SUB722_P4: App redirect, Netstat, Port redirect, FTP-серверr, менеджер задач (просмотр и прерывание запущенных процессов и приложений), редактор системного реестра (позволяет создавать/удалять ключи системного реестра) и сетевой броузер.
- TROJ_SUB722_P5: Перехватывание скриншотов (снимков экрана), отслеживание передвижений мыши и просмотр изображений с web-камеры.
- TROJ_SUB722_P6: Создание эффекта перевернутого экрана, вывод на дисплей картинок, редактирование буфера обмена, печать текста, речевой вывод текста, запуск игры «крестики-нолики».
- TROJ_SUB722_P7: Открытие Web-броузера, изменение разрешения и цветовой палитры монитора, перезагрузка системы, изменение звуковых установок и установок времени/даты,а также «игра» лампочками на клавиатуре.
- TROJ_SUB722_P11: Сканирование и запуск сетевых сервисов.
- TROJ_SUB722_P12: Контроль работы ICQ-клиента.
- TROJ_SUB722_P8: Загрузка, отключение/замена и отсылка ключей для активации приложений.
- TROJ_SUB722_P10: Получение кэшированных паролей для скринсэйвера, удаленного доступа к сетям, почтовым серверам.
- TROJ_SUB722_P1: Захват ICQ-пароля путем подсовывания жертве ложного окна для ввода пароля.
- TROJ_SUB722_P3: Сетевой монитор (Пакет sniffer)
- TROJ_SUB722_P9: Сбор различной информации.
- TROJ_SUB722_P2: Создание эффекта «матрица» при отсылке сообщений жертве.
Используя функцию EditServer хакер может дистанционно контролировать работу серверной компоненты троянца на компьютере-жертве, выполняя при этом следующие действия:
- Изменять пароль доступа к «серверу» и порт, через который он работает.
- Использовать любой другой порт.
- Использовать определенное или случайное имя «сервера».
- Назначать метод запуска троянца.
- Назначать все сразу или любой из пяти методов оповещения, а именно: 5.1 ICQ, 5.2 Email, 5.3 IRC, 5.4 SIN (статический IP Notifier) и 5.5 CGI (web-уведомление).
- «Цеплять» к «серверу» исполняемые модули: любую программу или определенный плагин.
- Назначать URL-адреса, с которых серверная компонента троянца может загружать плагины через интернет.
- Определять ограничения на команды и инструкции, выполняемые «сервером».
- Назначать email-адрес, на который будут отсылаться украденные с компьютера-жертвы пароли, а также перехватываемые значения нажатых клавиш.
- Изменять иконку «сервера» и разрешать вывод на дисплей жертвы ложных сообщений об ошибках при первом запуске «сервера» на выполнение.
TROJ_SUB722: появился продвинутый апдейт хакерской программы