Sub7

Sub7, o SubSeven, è una popolare backdoor. Serve principalmente per infastidire, ad esempio nascondendo il puntatore del mouse, cambiando le impostazioni di sistema o aprendo siti web a carattere pornografico. Ma può benissimo essere usato con finalità criminali, come rubare numeri di carta di credito, in tal caso esso agisce da keylogger. Il suo nome deriva dalla parola "NetBus" (altro famoso trojan) letta al contrario ("suBteN") e dalla sostituzione del dieci ("ten") con il sette ("seven"). È stato rilevato per la prima volta il 6 giugno 1999.

Sub7 software
Client di Sub7 2.1.5 Beta Client di Sub7 2.1.5 Beta
Genere	Sicurezza informatica
Sviluppatore	mobman
Ultima versione	2.3 2010 (9 marzo 2010)
Sistema operativo	Microsoft Windows
Linguaggio	Delphi Object Pascal
Licenza	Freeware (licenza non libera)
Sito web	sub7crew.org

Pericolosità

Sub7 si diffonde via email, pertanto un primo filtro alla sua diffusione è il buon senso dell'utente, che dovrebbe evitare di eseguire file poco sicuri. Inoltre questa backdoor è solitamente rilevata da un antivirus e fermata da un firewall. Queste tipologie di software sono integrate in quasi ogni sistema operativo, pertanto è sempre più difficile che questa backdoor riesca a penetrare le difese native del computer. Tuttavia, se l'eseguibile è compresso dentro un archivio, magari in formato ZIP, qualche antivirus datato potrebbe non essere in grado di riconoscerlo. Gli antivirus di ultima generazione (anche quelli gratuiti) riescono a controllare dentro gli archivi, per cui questo problema è quasi totalmente risolto. Il trojan è capace di infettare solo i computer con installato il Sistema Operativo Windows, pertanto è innocuo per gli utenti GNU/Linux e Mac.

L'autore

Questo software è stato inizialmente sviluppato da mobman. Si diceva in giro che era morto o che aveva perso l'interesse sullo sviluppo del progetto ma adesso l'ultima notizia risale al 20 agosto 2009 ed in essa l'autore afferma che non è morto e che sta attuando dei miglioramenti al programma.^[1].

Funzionamento

Come molti altri trojan horse, Sub7 è composto da due applicativi: un server e un client. Il server è il programma che la vittima deve eseguire (inconsapevolmente) affinché il suo calcolatore possa essere infettato, mentre il client (dotato di un'interfaccia grafica) permetterà all'attacker di controllare il server dalla propria postazione. Fornisce inoltre un terzo programma, chiamato EditorServer, che permette di configurare il server, impostando un indirizzo email al quale mandare l'IP della vittima. Sub7 consente ai cracker di inserire una password nel server, cosicché solo chi la conosca potrà accedere al pc della vittima. Le vecchie versioni di Sub7 prevedevano inoltre una "Master password", essa permetteva il libero accesso alla macchina infetta, sostituendosi alla personale password, rendendola di fatto inutile. Spesso la master password era 14438136782715101980 ma questa "funzione" è stata eliminata nelle ultime release.

Caratteristiche

• Installa un server FTP
• Visualizza i file del sistema
• Cattura lo schermo
• Cattura lo schermo in tempo reale (come un server VNC)
• Apre e chiude programmi
• Mostra popup e finestre di dialogo
• Fa cadere una connessione dial-up
• Riavvia il computer da remoto
• Apre/Chiude lo sportello del CD-ROM
• Modifica le informazioni del registro

Dopo che Sub7 è avviato effettua i seguenti cambiamenti

• Si copia e si rinomina in maniera casuale (come Eutccec.exe) nella cartella \Windows o \Windows\System.
• Aggiunge questo file alla lista dei programmi auto-avvianti nel file Win.ini.
• Modifica le seguenti chiavi del registro per fare in modo che venga eseguito in automatico:

HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Il confronto con Netbus

Sub7 è sempre stato considerato il grande rivale di Netbus. Pur avendo più funzioni (catturare immagini dalla webcam, reindirizzamento su più porte, un editor del registro di sistema user-friendly, una chat ed altro), è penalizzato sia dalla mancanza di un sistema di loggin delle attività della vittima sia dal salvarsi nella directory di windows, che lo rende facilmente rilevabile. Va anche detto che Sub7 è un po' meno stabile rispetto a NetBus.

Curiosità

Alcune versioni del client contengono un codice Hard Drive Killer Pro, capace di distruggere l'Hard Disk del nemico dell'autore. Il codice controlla se sul pc è memorizzato un account ICQ e se questo dovesse combaciare con un numero specifico (7889118, il numero ICQ di Sean Hamilton, un rivale dell'autore del trojan) danneggerebbe il disco rigido.

Note

1. ^ (EN) SubSeven Official Website News, in hackpr.net. URL consultato il 18-05-2010 (archiviato dall'url originale il 14 febbraio 2010).

Collegamenti esterni

• (EN) https://web.archive.org/web/20090118080440/http://www.hackpr.net/~sub7/ sito ufficiale attuale
• (EN) https://www.symantec.com/security_response/writeup.jsp?docid=2001-020114-5445-99 Scheda di Sub7 sul sito della Symantec
• Intervista a mobman, su guide.supereva.it.

  Portale Sicurezza informatica: accedi alle voci di Wikipedia che trattano di Sicurezza informatica