Este artículo necesita citas adicionales para su verificación . ( abril de 2014 ) |
Autor(es) original(es) | mafioso |
---|---|
Versión preliminar | 2.3 / 2010 |
Escrito en | Delfos |
Sistema operativo | Microsoft Windows |
Tipo | Caballo de Troya (informática) |
Licencia | software gratuito |
Sitio web | sub7crew.org |
Sub7 , o SubSeven o Sub7Server , es un programa troyano (más específicamente, un troyano remoto ) lanzado originalmente en febrero de 1999. [1] [2] [3] Su nombre se derivó de escribir NetBus al revés ("suBteN") e intercambiar "diez" por "siete". A junio de 2021, el desarrollo de Sub7 continúa. [4]
Debido a que su uso típico es permitir el acceso no detectado y no autorizado, los expertos en seguridad suelen describir a Sub7 como un caballo de Troya . [5] [2] [6] [7] [8] [9] A partir de la versión 2.1 (1999), se podía controlar a través de IRC . Como lo expresó un libro de seguridad: "Esto preparó el terreno para todas las botnets maliciosas que vendrían". [7] Además, Sub7 tiene algunas características que se consideran de poca utilidad en la administración remota legítima, como el registro de pulsaciones de teclas . [7]
Sub7 funcionó en Windows 9x y en la familia de sistemas operativos Windows NT , hasta Windows 8.1 inclusive . [8]
Esta sección necesita ser ampliada con: historia temprana. Puedes ayudar agregando más información. ( Enero de 2014 ) |
SubSeven fue desarrollado por mobman, un programador informático originario de Craiova, Rumania. [10]
Mobman lanzó SubSeven el 28 de febrero de 1999. Su primera edición se tituló SubSeven v1.0 y contenía ecos de otro troyano de la época, Back Orifice (BO). Mobman describió a SubSeven como un clon de BO. La rama inaugural de las versiones v1.0 a v1.9 restringió la experiencia del usuario a una sola ventana, lo que las hizo sencillas y fáciles de usar. En una versión experimental de 1.9, SubSeven 1.9 Apocalypse , Mobman renovó el diseño azul/violeta anterior que se había utilizado desde v1.5.
En 2001, en un intento de reinventar el diseño, se creó la rama v2.2x. Resultó ser efímera, ya que su enfoque modular que permitía la creación de complementos y funciones personalizadas no tuvo eco entre los usuarios que carecían de las habilidades o la motivación para crear nuevas extensiones y complementos. Por lo tanto, Mobman decidió continuar con la rama 2.1.x. En 2003, la versión 2.1.5, conocida como "SubSeven Legends", marcó el final del desarrollo de SubSeven bajo la dirección de Mobman. [3]
En 2006 (sub7legends.net) volvió a abrirse con cientos de miles de usuarios y ha mantenido a Sub7 con vida gracias a descargas limpias, soporte y nuevos lanzamientos de software.
No se había producido ningún desarrollo durante varios años hasta la versión 2.3 en 2010. Esta versión se basó en el código fuente genuino de SubSeven 2.2 y 2.1.3, que el propio mobman compartió con sus amigos cercanos, "Read101" y "fc", y fueron los responsables de esta actualización. Desafortunadamente, el renacimiento no captó la atención del público como se esperaba. Esta falta de interés se debió principalmente a "fc", que estaba más interesado en monetizar la nueva versión que en mejorar su calidad. [11]
SubSeven 2.3, lanzado el 9 de marzo de 2010, fue renovado para funcionar en todas las versiones de 32 y 64 bits de Windows e incluye TCP Tunnel y Password Recovery para navegadores, mensajeros instantáneos y clientes de correo electrónico. Tenía muchos errores. El sitio web que afirmaba hacer esto ya no está activo.
En junio de 2021, Jean-Pierre Lesueur (DarkCoderSc) lanzó desde cero una nueva versión completa de SubSeven versión 2.2. Esta versión mantuvo un aspecto similar al original. Desde entonces, el desarrollo ha cesado y el código fuente se ha puesto a disposición del público. [12]
En octubre de 2023, "IllWill", un ex miembro del equipo Sub7 de los años 90 y principios de los 2000, dio una charla en BSides CT 2023. [13] Esta presentación profundizó en la historia detrás de mobman, revelando varios hechos desconocidos sobre el misterioso desarrollador. La charla concluyó con IllWill publicando el código fuente oficial y genuino de SubSeven 2.1.2/3 en su Gitlab. [14] Este lanzamiento fue posible gracias a la contribución directa de mobman y con su bendición.
Hasta el momento, no se han publicado oficialmente otras versiones de SubSeven, aparte de la versión 2.1.2/3 de IllWill. La versión 2.2 de SubSeven sigue en posesión exclusiva de mobman, Read101, fc y DarkCoderSc.
En un artículo de 2013 de Rolling Stone , se identificó que Mobman era un hombre estadounidense. [15] En un episodio de octubre de 2024 del podcast Darknet Diaries , un hombre que decía ser de Rumania y residir en Canadá y ser el verdadero Mobman confrontó al estadounidense, señalando inconsistencias en su historia como que la primera versión de Sub7 decía "De Windsor, Ontario ", a lo que el estadounidense dijo que nunca había estado. [16]
Al igual que otros programas de administración remota, Sub7 se distribuye con un servidor y un cliente . El servidor es el programa que el host debe ejecutar para que sus máquinas sean controladas de forma remota, y el cliente es el programa con una interfaz gráfica de usuario que el usuario ejecuta en su propia máquina para controlar el servidor/PC host. El experto en seguridad informática Steve Gibson dijo una vez que con estas características, Sub7 permite a un hacker tomar "control prácticamente completo" sobre una computadora. Sub7 es tan invasivo, dijo, que cualquiera que lo tenga en su computadora "podría tener al hacker parado justo al lado" mientras usa su computadora. [17]
Sub7 tiene más funciones que Netbus (captura de cámara web, redirección de múltiples puertos, editor de registro fácil de usar, chat y más).
Según un análisis de seguridad, [18] las características del lado del servidor (computadora de destino) de Sub7 incluyen:
En el lado del cliente, el software tenía una "libreta de direcciones" que permitía al controlador saber cuándo estaban en línea los ordenadores de destino. Además, el programa del servidor podía personalizarse antes de ser entregado por un denominado editor de servidores (una idea tomada de Back Orifice 2000 ). Las personalizaciones posibles con el editor de servidores Sub7 incluían cambiar las direcciones de los puertos, mostrar un mensaje personalizado tras la instalación que podía utilizarse, por ejemplo, "para engañar a la víctima y enmascarar la verdadera intención del programa". [18] El servidor Sub7 también podía configurarse para notificar al controlador los cambios de dirección IP de la máquina anfitriona por correo electrónico, ICQ o IRC. [19]
Las conexiones a los servidores Sub7 pueden protegerse con una contraseña elegida. [19] Sin embargo, un análisis de ingeniería inversa más profundo reveló que "el autor de SubSeven ha incluido en secreto una contraseña maestra codificada para todos sus troyanos. El propio troyano ha sido troyanizado". [9] Para la versión 1.9, la contraseña maestra es predatox y 14438136782715101980 para las versiones 2.1 a 2.2b. La contraseña maestra para la puerta trasera SubSeven DEFCON8 2.1 es acidphreak. [20]
SubSeven se ha utilizado para obtener acceso no autorizado a ordenadores, ya que también funcionaba como keylogger. Si bien puede utilizarse para causar problemas (como hacer que se reproduzcan archivos de sonido de la nada, cambiar los colores de la pantalla, etc.), también puede leer las pulsaciones de teclas realizadas desde el último arranque, una capacidad que puede utilizarse para robar contraseñas, números de tarjetas de crédito y otros datos confidenciales. [21]
En 2003, un hacker comenzó a distribuir un correo electrónico en español que pretendía ser de la empresa de seguridad Symantec y que se utilizó para engañar a los destinatarios para que descargaran Sub7. [22]
Aunque Sub7 no es en sí un gusano (no tiene características de autopropagación incorporadas), algunos gusanos lo han aprovechado, como W32/Leaves (2001). [6] [23]
Algunas versiones de Sub7 incluyen código de Hard Drive Killer Pro para formatear el disco duro; este código solo se ejecutará si coincide con el número ICQ de "7889118" (autor del troyano rival de Mobman). [24]