Ein neues trojanisches Pferd, das die bisher als gefährlich geltendsten Vertreter NetBus und BackOrifice wie ein harmloses Kinderspielzeug erscheinen läßt, tobt durch das Netz. SubSeven, auch Backdoor-G genannt, bietet alle Eigenschaften der prominenten Vorbilder und läßt darüber hinaus Orwells Vision der totalen Überwachung zur bitteren Realität werden. Einige Beispiele: wurde das Programm auf einem fremden Rechner plaziert, was beispielsweise per eMail oder direkt an einem unbeobachteten Arbeitsplatz erfolgen kann, ist es beispielsweise möglich, über angeschlossene Multimedia-Geräte wie Webcam oder Mikrofon eine komplette Raumüberwachung vorzunehmen. Das System ist offen wie ein Scheunentor. Alle Paßwörter können eingesehen, Ordner verschoben und gelöscht werden. Selbst das Deinstallieren des kompletten Systems ist möglich. Damit nicht genug der Horror-Visionen Selbst bei nicht bestehender Offline-Verbindung werden sämtliche Tastatureingaben mitgeloggt und beim nächsten Surfausflug automatisch an den Spion übertragen, der sogar per eMail oder ICQ darüber informiert werden kann, daß neue "Horchergebnisse" vorliegen. Die Registry des befallenen Rechners kann ebenso gelöscht werden, auch ist das Versenden von eMails und das Schließen von Programmen möglich. Kurzum: nahezu alles, was man tun könnte, wenn man selbst vor dem entsprechenden PC säße. Für den Autostart installiert sich SubSeven entweder in c:\windows\win.ini oder c:\windows\system.ini - bzw. in der Registry in den Schlüsseln \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run oder \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices SubSeven nutzt standardmäßig den Port 1243, der aber mit EditServer leicht geändert werden kann. Aus demselben Grund gibt es auch viele Namen, unter denen die Programmfiles und DLLs auftreten können. Die gängigsten Namen sind: SERVER.EXE, KERNEL16.DLL, RUNDLL16.COM, SYSTEMTRAYICON!.EXE oder WINDOW.EXE. Verdächtig ist auch das Vorhandensein einer Datei WATCHING.DLL im Windows/System-Unterverzeichnis. Einen sicheren Schutz gegen das in Delphi geschriebene Programm gibt es derzeit nicht, da es im Falle einer drohenden Entdeckung einfach umbenannt oder versteckt werden kann. DataFellows, Hersteller der Antiviren-Software FSecure, dokumentiert die Fähigkeiten von SubSeven ausführlich auf einer Informationsseite . Auf Anfrage wurde uns mitgeteilt, die nahezu einzige Möglichkeit, den ungewollten Besucher wieder loszuwerden, bestünde in einer Komplettformatierung der Festplatte mit anschließender Neuinstallation. (internetworld)