New York (USA) – Nelle ultime ore è stato “avvistato” soprattutto sui newsgroup dedicati alla pornografia. Si tratta della nuova versione del codice troiano Subseven, già noto tra gli esperti, arrivato a quanto pare alla versione 2.2, più insidiosa della precedente. Ad avvertire della nuova versione di Subseven sono stati quelli della X-Force, la “pattuglia di intervento rapido” di Internet Security Systems.
Subseven consente a chi lo gestisce di “prendere possesso” del computer della propria vittima, consentendo all’autore di sniffare le password, di ascoltare attraverso il microfono, di vedere attraverso la webcam, di copiare file e via dicendo.
La nuova versione del trojan horse (“cavallo di Troia”), inoltre, sembra essere più semplice da utilizzare, offre una migliore interfaccia e gira anche su Windows NT e 2000.
Subseven, codice che lo scorso ottobre aveva sollevato un certo clamore, è un codice più diffuso di quel BackOrifice di cui molto si è parlato. Il motivo di questa diffusione è che il suo autore, “Mobman”, fin dal febbraio 1999 continua a starci dietro, a diffonderlo e aggiornarlo, al contrario di quanto avviene con BackOrifice.
Il “software” è formato, come in tutti questi codici, da due parti distinte. Il “client” risiede sul computer che lo gestisce mentre il “server” deve essere inserito dall’aggressore sulla macchina dell’utente-vittima. Un risultato che Subseven riesce ad ottenere spacciandosi come file a contenuto erotico, file che, una volta aperto, si rivela essere un eseguibile (.exe) e non una “immagine osé”. In questo modo Subseven si installa sulla macchina dell’ignaro utente.
Una volta “dentro”, il server può consentire non solo di catturare file, brani audio e immagini riservati ma anche di trasformare il computer dell’utente in una macchina per lanciare attacchi Denial of Service di tipo distribuito (DDoS). Si tratta, come noto, di aggressioni verso un singolo target in Rete realizzate mediante l’invio di una moltitudine di pacchetti e di richieste dal più alto numero possibile di computer connessi ad Internet.
Online abbiamo individuato alcuni siti che pubblicizzano la versione 2.2 beta 2 di Subseven che consentirebbe, nell’ordine, di: accedere al file manager, a windows manager, individuare qualsiasi file sul computer-vittima, aprire qualsiasi applicativo, gestire i plug-in di sistema, verificare lo stato della connessione, inviare messaggi, sniffare tutti i dati in rubrica e su programmi di instant messaging come ICQ.
Proprio attraverso i programmi di messaging, come quelli di chat IRC, chi ha “inviato” Subseven sul computer-vittima può far sì che, una volta installato il software, il trojan dia comunicazione via IRC dell’avvenuta “infezione”.
X-Force mette qui a disposizione la lista tecnica di tutte le funzionalità che il nuovo codice mette in mano a chi volesse utilizzarlo…
Il pericolo che Subseven rappresenta per la Rete era emerso proprio lo scorso ottobre quando sia Internet Security System che il National Infrastructure Protection Center dell’FBI avevano messo in guardia da possibili attacchi DDoS condotti grazie a Subseven. Un allarme lanciato dopo il ritrovamento di centinaia di server Internet già “catturati” dal troiano. All’epoca il codice girava infilato nel file “SexxxyMovie.mpeg.exe”.
Nel caso si dovesse riscontrare la presenza nel proprio sistema di Subseven 2.2, è possibile procedere alla sua rimozione seguendo questi passi:
Con regedit, rimuovere la chiave Loader nel registro, che si trova qui:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
oppure qui:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
Aprire il file system.ini, che normalmente si trova nella cartellina di Windows, e rimuovere questa chiave:
shell=Explorer.exe c:windowssytemsome random name.exe under boot, to shell=explorer.exe.
Aprire win.ini e rimuovere la chiave:
load=c:windowssystemsome random name.exeunder Windows
Riavviare il computer e cancellare il file troiano dalla directory di Windows.