SubSeven 2.0

SubSeven 2.0 - Allgemeines

Die erste Version von SubSeven erschien im Mai 1999. SubSeven 2.0 liegt seit September 1999 vor. Neben einer Erweiterung der Eigenschaften (mehr darüber auf der SubSeven-Homepage) wurden vor allem die Konfigurationsmöglichkeiten für die Serverinstallation erweitert.
Neben dem Client und dem Serverprogramm, ist auch wieder das Tool zur Modifikation des eigentlichen Servers "EditServer" im Orginal-Zip-File enthalten. Dieses können Sie entweder von der Orginal Homepage oder direkt auf meiner Seite downloaden.
 
Auf dieser (meiner) Seite finden Sie - erstmalig im (deutschsprachigen) WWW die komplette Beschreibung aller methoden, wie man einen Subseven Server findet und unschädlich macht. Dies gilt insbesondere für die sog. "less known method" bzw. die "not_known method"!

SubSeven 2.0 erkennen und Gegenmaßnahmen ergreifen

Für Subseven 2.0 gibt es fünf Möglichkeiten, wie es sich installieren kann. Diese Verfahren sind einzeln - oder auch kombiniert !!! - möglich, so dass man prinzipiell alle Möglichkeiten untersuchen muss, auch wenn man schon die eine oder andere gefunden hat.
Allgemein kann noch gesagt werden, dass der Server immer die Länge des Installationsprogrammes beibehält; wurde das Serverinstallationsprogramm nicht an eine andere EXE-Datei angehängt, beträgt die Länge 329 Byte. Der Server installiert sich immer direkt im Windows-Verzeichnis!

Methode 1 und Methode 2: Autostart über die Registry

Der Server, der einen beliebigen Namen haben kann, wird über einen (oder beide!) untenstehenden Registry-Einträge gestartet:
 
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
oder
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

Methode 3: Autostart über die Datei WIN.INI

Hier wird der Server (mit dem Namen "<server>") über den Befehl: run=<server>.exe gestartet.

Methode 4: Autostart über die Datei SYSTEM.INI (less known method)

Hier wird der Server (mit dem Namen "<server>") über den Befehl: shell= explorer.exe <server>.exe gestartet. Im Normalfall (nicht infiziertes System steht hier: shell= explorer.exe.

Methode 5: Autostart über den Befehl run.exe (not_known method)

Bei dieser Methode werden in der Registry zwei Eiträge (nämlich die, die für den Start der Shell zuständig sind) modifiziert. Es handelt sich um die Einträge
 
\HKEY_CLASSES_ROOT\exefile\shell\open\command
bzw.
\HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command.
 
Der Wert der Variablen wird geändert von
"%1" %*
in
run.exe "%1" %*.
 
Die Datei "run.exe" ist 12 Byte groß und wird beim Installieren des Servers (gemeinsam mit der eigentlichen "<server>.exe" generiert und ebenfalls im Windows-Verzeichnis abgelegt.
Da diese Datei von nun an zum Öffnen sämtlicher EXE-Programme verwendet wird, kann man sie nicht einfach löschen (danach könnte man kein einziges Programm mehr starten!). Die De-Installation muss daher in mehreren Schritten durchgeführt werden.
  1. File "run.exe" (könnte ggf. auch anders heißen) in der Registry finden (Pfad s.o.)
  2. Eintrag ändern, d.h. run.exe löschen (sollte nach dem Ändern im ersten Pfad im zweiten automatisch geschehen sein!), so dass die Variable wieder den Orginalwert "%1" %* besitzt (bereits jetzt wird der SubSeven-Server nicht mehr automatisch gestartet!)
  3. Neustart des Systems
  4. sicherheitshalber run.exe aus dem Windowsverzeichnis löschen
    5. ggf. noch <server>.exe entfernen

Automatische Methode:

Sollten sie mittels des Subseven Clients auf den Subseven-Server zugreifen können (geht beim eigenen Rechner über die IP-Adresse 127.0.0.1), können Sieunter dem Menüpunkt "connection" und "server options" die Funktion "remove server" auswählen, der zuverlässig alle einträge löscht. Dies gilt auch, wenn mehrere Methoden gleichzeitig konfiguriert wurden (lediglich die run.exe muss per Hand entfernt werden - sie ist allerdings nicht mehr aktiv!)  
 
Wie auf meiner Subseven-Seite bereits erwähnt wurde, nutzt SubSeven standardmäßig den Port 1243, der aber mit EditServer leicht in jeden anderen Wert geändert werden kann.
 
Da Subseven 2.0 einen Update von Subseven darstellt, gelten alle Aussagen, die auf meiner Subseven-Seite gemacht wurden sinngemäß auch für Subseven 2.0.
 

SubSeven 2.0: Rechtliche Fragen, FAQ

Da die Fragen für alle Backdoor-Programme die selben sind, habe ich sie auf einer eigenen Seite zusammengefaßt. Bitte lesen Sie diese auch, bevor Sie mir eine E-Mail oder eine ICQ-Anfrage senden!
 

SubSeven 2.0 - Dateien (lokaler Download):

SubSeven V. 2.0 Client + Server + ServerEdit (zip-File)


Links:

auf meiner Subseven-Seite!
 
Informationen und Links zu weiteren Trojanischen Pferden finden Sie auf meiner "Trojan-Site".
 
Bei Fragen und Problemen posten Sie bitte in meinem Internet- und Security-Forum.
In besonderen Fällen erreichen Sie mich auch per E-Mail!
Und bitte vergessen Sie nicht, sich in meinem Gästebuch einzutragen?
Homepage [zurück zur Trojaner-Seite]

(Diese Seite wurde erstellt am 19.10.1999,
der letzte Update fand statt am 8.2.2004)

Dieses Angebot ist erreichbar über http://www.tcp-ip-info.de, http://www.trojaner-und-sicherheit.de, http://www.internet-und-sicherheit.de und http://www.tcp-ip.de.gg