Backdoor.SubSeven

Backdoor.SubSeven es un Caballo de Troya, similar al Netbus o Back Orifice, el cual permite el acceso no autorizado a su computadora sobre Internet, sin su conocimiento.

Cuando el servidor ejecuta parte del programa, el individuo que acceda en forma remota su computadora, puede llevar a cabo las siguientes actividades:

• Configurarlo como un servidor FTP
• Buscar archivos en ese equipo
• Capturar pantallas
• Capturar información de la pantalla en tiempo real
• Abrir y cerrar programas
• Editar información de los programas que se estén ejecutando
• Mostrar mensajes y cajas de diálogo
• Levantar una conexión de acceso remoto
• Reiniciar en forma remota la computadora
• Abrir la unidad de CD-ROM
• Editar información de registro de Windows

Al ejecutarse BackDoor.Subseven, realiza los siguientes cambios en el sistema:

• Agrega una copia de el mismo y un archivo ejecutable en forma aleatoria, como el Eutccec.exe, a la carpeta \Windows o \Windows\System.
• Agrega el nombre del archivo que copió a las líneas de comandos load= y run= del archivo Win.ini.
• Agrega el nombre del archivo que copió a la línea de comandos shell=explorer.exe del archivo System.ini.
• Crea el valor WinLoader y lo iguala al nombre del archivo copiado en las llaves de registro de abajo.
• Modifica el valor (Predeterminado) de "%1" %* a, por ejemplo, eutccec.exe "%1" %*, en las siguientes llaves de registro:
  
  HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command
  
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
  

Recomendaciones

Symantec Security Response invita a todos los usuarios y administradores a adoptar las siguientes "mejores prácticas" básicas de seguridad:

• Desactive y quite los servicios que no sean necesarios. De forma predeterminada, muchos sistemas operativos instalan servicios auxiliares que no son imprescindibles, como servidores de FTP, telnet y servidores de web. A través de estos servicios ocurren buena parte de los ataques. Si se quitan, las amenazas combinadas dispondrán de menos entradas para realizar ataques y tendrá que mantener menos servicios actualizados con parches.
• Si una amenaza combinada explota uno o varios servicios de red, deshabilite o bloquee el acceso a estos servicios hasta que aplique el parche correspondiente.
• Mantenga siempre el parche actualizado, sobre todo en equipos que alojan servicios públicos, a los que se puede acceder a través de algún firewall, como servicios HTTP, FTP, de correo y DNS (por ejemplo: todos los equipos basados en Windows deben tener instalado el Service Pack actual).. Además, aplique cualquiera de las actualizaciones de seguridad que se mencionan en este artículo, en boletines de seguridad confiables o en sitios Web del proveedor.
• Implemente una política de contraseñas. Con contraseñas complejas, resulta más difícil descifrar archivos de contraseñas en equipos infectados. De este modo, ayuda a evitar que se produzcan daños o a reducir el daño cuando se ataca a un equipo.
• Configure el servidor de correo electrónico para que bloquee o elimine los mensajes que contengan adjuntos que se utilizan comúnmente para distribuir virus, como archivos .vbs, .bat, .exe, .pif y .scr.
• Separe rápidamente los equipos infectados para evitar que pongan en peligro otros equipos de la organización. Realice un análisis forense y restaure los equipos con medios que sean de su confianza.
• Instruya a sus empleados para que no abran adjuntos a menos que los estén esperando. No ejecute el software descargado desde Internet, a menos que lo haya analizado previamente en busca de virus. La sola visita a un sitio Web infectado puede infectar su sistema si ciertas vulnerabilidades del navegador no se corrigieron con los parches.

Resumen