Netzpolitik
SubSeven: Totale Kontrolle über Ihren Rechner
Trojanisches Pferd mit bisher ungekannten Fähigkeiten - Antiviren-Software machtlos gegen den ausgebufften Eindringling
Ein neues trojanisches Pferd, das die bisher als
gefährlich geltendsten Vertreter NetBus und BackOrifice wie
ein harmloses Kinderspielzeug erscheinen läßt, tobt durch
das Netz. SubSeven, auch Backdoor-G genannt, bietet alle
Eigenschaften der prominenten Vorbilder und läßt darüber
hinaus Orwells Vision der totalen Überwachung zur bitteren
Realität werden.
Einige Beispiele: wurde das Programm auf einem fremden Rechner plaziert, was beispielsweise per
eMail oder direkt an einem unbeobachteten Arbeitsplatz erfolgen kann, ist es beispielsweise
möglich, über angeschlossene Multimedia-Geräte wie Webcam oder Mikrofon eine komplette
Raumüberwachung vorzunehmen. Das System ist offen wie ein Scheunentor. Alle Paßwörter können
eingesehen, Ordner verschoben und gelöscht werden. Selbst das Deinstallieren des kompletten
Systems ist möglich.
Damit nicht genug der Horror-Visionen
Selbst bei nicht bestehender Offline-Verbindung werden
sämtliche Tastatureingaben mitgeloggt und beim nächsten Surfausflug automatisch an den Spion
übertragen, der sogar per eMail oder ICQ darüber informiert werden kann, daß neue
"Horchergebnisse" vorliegen. Die Registry des befallenen Rechners kann ebenso gelöscht werden,
auch ist das Versenden von eMails und das Schließen von Programmen möglich. Kurzum: nahezu
alles, was man tun könnte, wenn man selbst vor dem entsprechenden PC säße.
Für den Autostart installiert sich SubSeven entweder in c:\windows\win.ini oder
c:\windows\system.ini - bzw. in der Registry in den Schlüsseln
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run oder
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
SubSeven nutzt standardmäßig den Port 1243, der aber mit EditServer leicht geändert werden kann.
Aus demselben Grund gibt es auch viele Namen, unter denen die Programmfiles und DLLs auftreten
können. Die gängigsten Namen sind: SERVER.EXE, KERNEL16.DLL, RUNDLL16.COM,
SYSTEMTRAYICON!.EXE oder WINDOW.EXE. Verdächtig ist auch das Vorhandensein einer Datei
WATCHING.DLL im Windows/System-Unterverzeichnis.
Einen sicheren Schutz gegen das in Delphi geschriebene Programm gibt es derzeit nicht, da es im
Falle einer drohenden Entdeckung einfach umbenannt oder versteckt werden kann. DataFellows,
Hersteller der Antiviren-Software FSecure, dokumentiert die Fähigkeiten von SubSeven ausführlich
auf einer
Informationsseite
. Auf Anfrage wurde uns mitgeteilt, die nahezu einzige Möglichkeit, den
ungewollten Besucher wieder loszuwerden, bestünde in einer Komplettformatierung der Festplatte
mit anschließender Neuinstallation. (internetworld)