I discovered using CA InoculateIT (with the last signatures). It might be
difficult for you to read, but anyway I am attaching an article about this
(in spanish).
Hope it helps.
pablo.
--------------------------------------------------------------------
HISPASEC una al d�a (27/01/2000)
Todos los d�as una noticia de seguridad
--------------------------------------------------------------------
SubSeven 2.1 Gold, un nuevo troyano entra en escena
---------------------------------------------------
BackOrifice y NetBus son sin duda los troyanos m�s conocidos pero
hay muchos m�s, cada d�a aparece alguno nuevo por eso hay que
estar prevenido y tener cuidado. En esta ocasi�n nos hacemos eco
de SubSeven 2.1 Gold, un nuevo troyano de altas capacidades y
gran peligro que ha aparecido recientemente.
Realmente no se trata de un nuevo troyano, como bien indica su
n�mero de versi�n. En esta ocasi�n nos encontramos ante un
troyano ya cl�sico pero que incluye una gran cantidad de nuevas
caracter�sticas que lo hacen distinguirse de los dem�s.
Como otros troyanos similares consta de dos partes, trabajando
como una aplicaci�n cliente-servidor la parte que se instala en
el ordenador atacado hace las veces de servidor, mientras que la
parte que emplea el atacante es el cliente.
Esta nueva versi�n de SubSeven incluye nuevas caracter�sticas
como libro de direcciones, visor de procesos, explorador de Ips
remotas. webcam, texto a voz, grabador de teclado, ICQ takeover,
esp�as de ICQ, Microsoft Messenger y Yahoo Messenger, visor de
portapapeles, informaci�n del ordenador atacado, movimiento del
rat�n remoto, abrir y cerrar la unidad del CD-ROM, control del
sistema de archivos (creaci�n, borrado y edici�n de archivos y
directorios) y un largo etc�tera de posibilidades.
Subseven 2.1 Gold ocupa varios puertos por defecto dependiendo de
su funci�n, como el 27374 TCP para sus acciones normales, el
54283 TCP para espiar el ICQ mientras que la grabaci�n del
teclado se realiza a trav�s del 2773 TCP. Aunque todos estos
puertos pueden cambiarse a gusto del atacante.
La forma de eliminaci�n de este troyano depender� de la forma en
que el atacante lo haya configurado. Si el usuario malicioso
emple� la versi�n por defecto, se deber� emplear cualquier editor
de texto para abrir el system.ini (generalmente en
c:\windows\system.ini) y modificar la entrada shell=Explore
MSREXE bajo [boot] a shell=explore.exe. Tras ello, se debe
reiniciar el ordenador. Por �ltimo se puede eliminar el archivo
troyano MSREXE.exe del directorio Windows.
Si el atacante configur� el servidor para iniciarse con un m�todo
desconocido se deber� proceder de otra forma para su eliminaci�n,
en primer lugar se cambiar� el valor de la llave del registo
HKEY_CLASSES_ROOT\exefile\shell\open\command a "". Tras ello, se
reiniciar� el ordenador y se borrar� el archivo troyano
MSREXE.exe del directorio Windows.
Si el atacante configur� el troyano para iniciarse con el win.ini
se deber� emplear un editor de texto para modificar el archivo
win.ini (generalmente en c:\windows\win.ini) y eliminar la l�nea
run=MSREXE.exe bajo [Windows]. Tras lo que ya s�lo resta
reiniciar y eliminar el archivo troyano MSREXE.exe.
Por �ltimo, tambi�n se puede configurar SubSeven para iniciarse a
trav�s del registro, en cuyo caso se debe ejecutar regedit.exe y
eliminar la clave winloader del registro localizada en
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
o en
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunS
ervices. Como anteriormente basta reiniciar el ordenador y
eliminar MSREXE.exe.
M�s informaci�n:
SubSeven
http://subseven.slak.org/
Antonio Ropero
[EMAIL PROTECTED]
-------------------------------------
una-al-d�a es un servicio de HispaSec (http://www.hispasec.com)
-----Original Message-----
From: Peter M [mailto:[EMAIL PROTECTED]]
Sent: Viernes, 04 de Febrero de 2000 03:17 p.m.
To: [EMAIL PROTECTED]
Subject: RE: Hey Guys.
Any idea how to check the windows 95/98 Machine to see if you are with the
trojan.. so far, when i do netstat -a .. I don't see any ports open.. but
just wanted to make sure.
Peter.
On Thu, 03 February 2000, Pablo Smiraglia wrote:
>
> Peter,
>
> That port is used by a very nasty troyan: SubSeven 2.1 Gold. You can check
> this out here: http://subseven.slak.org/
>
> Hope it helps.
> pablo
> -------------------------------------------------------------------------
> Pablo Marcelo Smiraglia
> Lider de proyectos.
> DTE Inform�tica & Comunicaciones
> Voice: +54-114-382-8555
> Fax: +54-114-382-9073
> e-mail: [EMAIL PROTECTED]
> <mailto:[EMAIL PROTECTED]> PGP Key: 0xF4A3E60B
> -------------------------------------------------------------------------
>
>
>
>
>
> -----Original Message-----
> From: Peter M [mailto:[EMAIL PROTECTED]]
> Sent: Jueves, 03 de Febrero de 2000 02:22 p.m.
> To: [EMAIL PROTECTED]
> Subject: Hey Guys.
>
>
> Over the last 2 days,
>
> Ive been getting a lot of TCP packets going to port "27374" .. Not a udp
nor
> icmp.. just a normap tcp packet
>
> Blocking incoming TCP: src=xx.x.xxx.xxx, dst=xx.xxx.xx.xxx, sport=3122,
> dport=27374.
>
> Sender Port changes... but destination stays the same.
>
> Let me know guys.
>
> Peter.
>
>
> __________________________________________________________
> Get your FREE personalized e-mail at http://www.canada.com
> -
> [To unsubscribe, send mail to [EMAIL PROTECTED] with
> "unsubscribe firewalls" in the body of the message.]
> -
> [To unsubscribe, send mail to [EMAIL PROTECTED] with
> "unsubscribe firewalls" in the body of the message.]
__________________________________________________________
Get your FREE personalized e-mail at http://www.canada.com
-
[To unsubscribe, send mail to [EMAIL PROTECTED] with
"unsubscribe firewalls" in the body of the message.]
