SubSeven
Eine der bekanntesten Backdoors für Windows

Ergänzende Informationen zu Subseven 2.0 gibt's hier!

SubSeven (alias Backdoor-G) - eine Einleitung

SubSeven (auch Sub7 oder Backdoor-G) ist - neben netbus - eines der bekanntesten und leistungsstärksten Backdorprogramme (ugs. auch Trojaner genannt) für Windows. Es hat allerdings inzwischen viel von seiner Gefährlichkeit verloren, da es praktisch von jedem Virenscanner erkannt und beseitigt wird.
Die erste ungepackte Version von SubSeven erschien im Mai 1999. Inzwischen liegt das Programm in der Version 1.9 vor. Das Programm besteht aus drei Teilen:
Alle drei Programme sind in einem einzigen ZIP-File enthalten, das entweder von der Orginal Homepage oder direkt auf meiner Seite als Download verfügbar ist.
SubSeven ist in Delphi programmiert!

SubSeven - Eigenschaften und Funktionsweise

SubSeven hat wesentlich mehr Features als BackOrifice oder NetBus. Je nach Zählweise kommt man auf 113 bis 117 Eigenschaften, die auf acht Funktionsblöcke (Manager) aufgeteilt sind:
Die wichtigsten und interessantesten Eigenschaften möchte ich hier kurz aufzählen. Eine ausführliche Eigenschaftsliste finden Sie auf der Orginal Homepage bzw. bei Data Fellows. Im Prinzip kann man davon ausgehen, daß SubSeven alle Eigenschaften von Back Orifice und NetBus besitzt.
Darüber hinaus sind folgende zusätzliche Funktionen verfügbar:

    Fun Manager

  • Maus-Zeiger verstecken
  • Windows-Farben und -Auflösung verändern
  • Internet-Verbindung unterbrechen
  • Ändern von Datum und Zeit
  • Verstecken (und Anzeigen) der Desktop-Icons und des Start-Buttons
  • Ein- und Ausschalten des Monitors
  • Disable/ Enable von <CTRL+ALT+DEL>
  • Aufzeichnen der Signale von angeschlossenem Mikrofon
     

    Connection Manager

  • IP-Scanner
  • Abfrage von Computer- und User-Name
  • Abfrage verschiedener Hard- und Software-Informationen (CPU Speed, HD Größe, aktuelle Auflösung, Windows-Version etc.)
  • Benachrichtigung per ICQ, IRC und E-Mail (über aktivierten Server)
     

    Keyboard Manager

  • Loggen von Tastatur-Eingaben (auch Offline!!!)
  • ICQ Spy
  • Abschalten der Tastatur
  • Schließen und Entfernen (Deinstallieren) des Server
     

    Misc. Manager

  • Anzeige von Passwords (ge-cached oder aufgezeichnet)
  • Capture einer angeschlossenen Kamera
  • Bildschirm-Capture (automatisch: zwischen 1 und 30 sec)
  • Öffnen eines FTP-Servers
  • Editieren der Registry
  • Ausdrucken von Text (TXT und RTF) auf dem angschlossenen Drucker

    File Manager

  • Anzeigen und Löschen von Files und Verzeichnissen
  • Ausführen von Anwendungen
  • Übertragen von Files (upload und download)
  • Setzen eines "Wallpaper"
     

    Windows Manager

  • Anzeigen aller aktiven Fenster und Applikationen
  • Schließen von Windows und Abschalten des "X" (close) Buttons
     

    Options Menue

  • Festlegen der Qualität des Full Scree Capture
  • Einstellen des "Download Direcory"
     

    Edit Server

  • Festlegen des Ports (Standard: 1243)
  • Einstellen der Autostart-Funktion (Registry, Win.ini etc.)
  • Ändern der File-Größe und des Server-Icons
  • Anhängen eines beliebigen EXE-Files
  • Einstellen des File-Namen nach der Installation
  • Einstellen des Registry Key

SubSeven - EditServer.EXE (Oberfläche)

SubSeven - erkennen und Gegenmaßnahmen ergreifen

Für den Autostart installiert sich SubSeven entweder in c:\windows\win.ini oder c:\windows\system.ini - bzw. in der Registry in:
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run oder
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
 
 
Wie bereits erwähnt nutzt SubSeven standardmäßig den Port 1243, der aber mit EditServer leicht geändert werden kann. Aus demselben Grund gibt es auch viele Namen, unter denen die Programmfiles und DLLs auftreten können. Die gängigsten Namen sind:
 
SERVER.EXE
KERNEL16.DLL
RUNDLL16.COM
SYSTEMTRAYICON!.EXE
WINDOW.EXE
 
Alle diese Files sind im Windows Verzeichnis zu finden. Eine weitere Datei mit dem Namen WATCHING.DLL findet sich unter Windows\System.
Aber wie gesagt: Alle Dateien können umbenannt werden!
Eine weitere geschickte Methode, den Server loszuwerden ist die Nutzung der Remove Server-Funktionalität des Connection Managers (im Client). Auf diese Weise kann - bei bekannter Portnummer des Servers - auch gleichzeitig die erfolgreiche Installation des Server überprüft werden (eine Verbindung zu 127.0.0.1 darf nicht mehr möglich sein!).

SubSeven: Rechtliche Fragen, FAQ

Da die Fragen für alle Backdoor-Programme die selben sind, habe ich sie auf einer eigenen Seite zusammengefaßt. Bitte lesen Sie diese auch, bevor Sie mir eine E-Mail oder eine ICQ-Anfrage senden!
 

SubSeven - Dateien:
(lokaler Download)

SubSeven V. 1.9 Client + Server + ServerEdit (zip-File)


Links:

SubSeven Homepage demnächst auch unter http://www.subseven.com
Beschreibung bei Data-Fellows demn Machern von "F-Prot" (engl.)
Sophos Virus Info  
Trojan Hacking Section von Hack City, mit (weiteren) Backdoor- und Anti-Trojan-Programmen
Weitere Informationen in der BUGTRAQ-Datenbank des NetSpace-Projekts
   

 
Informationen und Links zu weiteren Trojanischen Pferden finden Sie auf meiner "Trojaner Seite".
 

Bei Fragen und Problemen posten Sie bitte in meinem Internet- und Security-Forum.
In besonderen Fällen erreichen Sie mich auch per E-Mail!
Und bitte vergessen Sie nicht, sich in meinem Gästebuch einzutragen?

Homepage [zurück zur Trojaner-Seite]

(Diese Seite wurde erstellt am 15.08.1999,
der letzte Update fand statt am 13.11.2004)
 


Dieses Angebot ist erreichbar über http://www.tcp-ip-info.de, http://www.trojaner-und-sicherheit.de, http://www.internet-und-sicherheit.de und http://www.tcp-ip.de.gg