Nette Sachen findet man in einer Iso, nicht wahr Mick...
Das Erste Exemplar von SubSeven wurde im Mai 1999 gefunden. Die ersten Exemplare waren größer, weil sie nicht gepackt waren. Die späteren Versionen, die mit Hilfe von WIN32 Aspack gepackt waren, wurden von vielen Anti-Viren-Programmen nicht erkannt, weil sie nicht "das Innere" der Dateien durchsuchen konnten. SubSeven wurde über meherer News-Gruppen und als E-Mail verbreitet.
Wird SubSeven aufgerufen, kopiert es siche selbst in das Windows-Verzeichnis und erhält dort den Namen des Programms über das es aufgerufen wurde oder als SERVER.EXE, KERNEL16.DL, RUNDLL16.COM, SYSTEMTRAYICON!.EXE oder WINOW.EXE. Anschließend dekomprimiert es eine DLL-Datei, die als WATCHING.DLL in das Verzeichnis \Windows\System\directory gespeichert wird. SubSeven manipuliert die Registry-Einträge derart, daß die meisten Anwendungen aufgerufen und benutzt werden können. Außerdem werden einige Registry- Einträge verändert. Auch die WIN.INI wird modifiziert.
Die Task Subseven ist aktiv im Speicher, aber bleibt unsichtbar in der Taskleiste. Dieses Programm überwacht die TCP/IP- Verbindungen, die anschließend "belauscht" werden. Derjenige Benutzer, der die Client- Version besitzt, erhält Kontrolle über das Remote-System, wo die Server-Version installiert ist. Hier ist die Liste der 113 Funktionen von SubSeven.
Fun Manager
------------------
1. Open Web Browser to specified location.
2. Restart Windows.
3. Reverse Mouse buttons.
4. Hide Mouse Pointer.
5. Move Mouse.
6. Mouse Trail Config.
7. Set Volume.
8. Record Sound file from remote mic.
9. Change Windows Colors / Restore.
10. Hung up Internet Connection.
11. Change Time.
12. Change Date.
13. Change Screen resolution.
14. Hide Desktop Icons / Show
15. Hide Start Button / Show
16. Hide taskbar / Show
17. Opne CD-ROM Drive / Close
18. Beep computer Speaker / Stop
19. Turn Monitor Off / On
20. Disable CTRL+ALT+DEL / Enable
21. Turn on Scroll Lock / Off
22. Turn on Caps Locl / Off
23. Turn on Num Lock / Off
Connection Manager
-----------------------------
1. Connect / Disconnect
2. IP Scanner
3. IP Address book
4. Get Computer Name
5. Get User Name
6. Get Windows and System Folder Names
7. Get Computer Company
8. Get Windows Version
9. Get Windows Platform
10. Get Current Resolution
11. Get DirectX Version
12. Get Current Bytes per Pixel settings
13. Get CPU Vendor
14. Get CPU Speed
15. Get Hard Drive Size
16. Get Hard Drive Free Space
17. Change Server Port
18. Set Server Password
19. Update Server
20. Close Server
21. Remove Server
22. ICQ Pager Connection Notify
23. IRC Connection Notify
24. E-Mail Connection Notify
Keyboard Manager
--------------------------
1. Enable Key Logger / Disable
2. Open Key Logger in a remote Window
3. Clear the Key Logger Windows
4. Collect Keys pressed while Offline
5. Open Chat Victim + Controller
6. Open Chat among all connected
Controllers
--------------
1. Windows Pop-up Message Manager
2. Disable Keyboard
3. Send Keys to a remote Window
Misc. Manager
--------------------
1. Full Screen Capture
2. Continues Thumbnail Capture
3. Flip Screen
4. Open FTP Server
5. Find Files
6. Capture from Computer Camera
7. List Recorded Passwords
8. List Cached Passwords
9. Clear Password List
10. Registry Editor
11. Send Text ot Printer
File Manager
------------------
1. Show files/folders and navigate
2. List Drives
3. Execute Application
4. Enter Manual Command
5. Type path Manually
6. Download files
7. Upload files
8. Get File Size
9. Delete File
10. Play *.WAV
11. Set Wallpaper
12. Print *.TXT\*.RTF file
13. Show Image
Window Manager
------------------------
1. List visible windows
2. List All Active Applications
3. Focus on Window
4. Close Window
5. Disable X (close) button
6. Hide a Window from view.
7. Show a Hidden Window
8. Disable Window
9. Enable Disabled Window
Options Menu
--------------------
1. Set Quality of Full Screen Capture
2. Set Quality of Thumbnail Capture
3. Set Chat font size and Colors
4. Set Client's User Name
5. Set local 'Download' Directory
6. Set Quick Help
7. Set Client Skin
8. Set Fun Manager Skin
Edit Server
--------------
1. PreSet Target Port
2. PreSet server Password
3. Attach EXE File
4. PreSet filename after installation
5. PreSet Registry Key
6. PreSet Autostart Method:
Registry: Run
Registry: RunSevices
Win.ini
Less known method
7. PreSet Fake error message
8. PreSet Connection Notify Username
9. PreSet Connection Notify ICQ#
10. PreSet Connection Notify E-Mail
11. PreSet Connection Notify IRC Chan.
12. PreSet IRC Port
13. Change Server *.exe Icon
Der Autor von SubSeven nennt sich selbst Mobman.
Dieses ist zur Zeit das Backdoor mit der höchsten Komplexität.
Siehe auch
Warnung XP Cracks
SubSeven versucht ICQ, IRC zu nutzen und unterschiedliche Mail-Accounts zu verwenden, um festzustellen, ob seine "Opfer" online sind.