ICQMAPI.dll       58,880 bytes
tutorial.txt       9,086 bytes
editserver.exe   314,368 bytes
SubSeven.exe     658,944 bytes
server.exe       372,131 bytes

• SubSeven.EXE es el archivo usado para controlar al servidor (víctima).
• Server.EXE es el troyano que debe ejecutar la víctima en su PC (mediante engaños), para ser infectada.
• EditServer.EXE es el editor para personalizar el servidor
• ICQMAPI.DLL es una librería necesaria si se requiere el uso del ICQ para controlar al troyano.

Algunas de las acciones que el troyano puede realizar en un sistema infectado son las siguientes:

• Abrir o cerrar la bandeja del CD
• Activar o desactivar Bloq. Despl. (Scroll lock on/off)
• Activar y desactivar el teclado numérico (Nums lock on/off)
• Actualizaciones a través de Internet del servidor
• Buscar archivos en la computadora de la víctima
• Búsqueda de archivos
• Cambiar la carpeta local del troyano
• Cambiar los valores del volumen de sonido
• Cambio de la resolución de la pantalla
• Cambio de los colores de Windows
• Cambio de teclado mayúsculas/minúsculas (Caps Lock on/off)
• Cambio de vista, fecha y hora
• Captura continua con Webcam
• Captura de la pantalla
• Captura de todo lo tecleado
• Captura y espionaje de comunicaciones ICQ, MSN, AIM y YAHOO
• Cerrar sesión, apagar, reiniciar o salir de Windows
• Chat
• Control del ratón
• Controlar el ICQ
• Convertir la PC en servidor FTP
• Convertir texto en voz (Text-2-speech)
• Deshabilitar y habilitar cualquier tecla
• Deshabilitar y habilitar las teclas ALT-CTRL-SUPR
• Editar el registro del Windows de la víctima
• Editar el servidor en forma remota
• Ejecutar comandos DOS y ver el resultado en forma remota
• Enviar a un URL
• Enviar mensajes
• Esconder o mostrar el botón de Inicio
• Esconder o mostrar el cursor del ratón
• Esconder o mostrar el escritorio
• Esconder o mostrar el reloj
• Esconder o mostrar la barra de tareas
• Escribir en el teclado remoto
• Espionaje de ICQ, AIM, MSN, YAHOO Instant Messenger
• Grabaciones de video (AVI de WebCams y QuickCams)
• Grabaciones del sonido emitido, a través del micrófono del PC
• Intercambiar los botones del ratón
• Manejador de archivos
• Manejador de impresoras
• Manejador de procesos
• Manejador de Windows
• Manejador del portapapeles (Clipboard manager)
• Manejador del registro
• Mover la pantalla
• Obtener contraseñas
• Obtener información del PC
• Obtener información del usuario
• Obtener la clave del AIM
• Obtener la clave del ICQ
• Obtener la clave del salvador de pantalla
• Obtener las claves de acceso a Internet
• Obtener todas las claves guardadas en el caché
• Prender y apagar el monitor (ahorro de energía)
• Redireccionado de aplicaciones
• Redireccionar puertos
• Servidor FTP
• Sniffer de paquetes
• Ver la imagen de la webcam
• Visualizar toda la red (Network browser)

Reparación manual

Para limpiar este troyano de un sistema infectado, deberá ejecutar primero uno o más antivirus actualizados. Se sugiere su limpieza bajo MS-DOS con F-Prot desde un disquete de inicio, como se explica en nuestro sitio:

Cómo ejecutar F-PROT desde disquetes
http://www.vsantivirus.com/fprot-disq.htm


Apuntes de desinstalación

Los archivos "SubSeven.EXE", "EditServer.EXE", "ICQMAPI.DLL", pueden ser borrados directamente si aparecen en la computadora infectada.

El troyano se engancha al sistema operativo, usando alguno de estos métodos:

1. Agregando el nombre del servidor en el archivo WIN.INI (el servidor o server, puede tener cualquier nombre para engañar a su víctima).

2. Agregando el nombre del servidor en el archivo SYSTEM.INI (el servidor o server, puede tener cualquier nombre para engañar a su víctima).

3. Agregando el nombre del archivo servidor, al registro bajo alguna de las siguientes claves:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

4. Cambiando la asociación de archivos ejecutables, de modo que se ejecute el servidor cada vez que se llama a cualquier otro programa. Esto se hace desde la siguiente ramas del registro:

HKEY_CLASSES_ROOT\exefile\shell\open\command\

El troyano también agrega a la lista de extensiones de archivos ejecutables, la extensión ".DL", necesaria para descargar y ejecutar archivos desde y hacia la computadora de la víctima.

Algunos antivirus no revisan archivos .DL, por lo que se debe actuar con cuidado si encuentra algún archivo con esa extensión en su computadora.

Para remover el troyano de un sistema infectado, no solo basta con borrar todos los archivos involucrados, sino que se debe modificar el registro de la siguiente forma:

1. Primero debe renombrar el archivo REGEDIT.EXE como REGEDIT.COM, ya que la extensión .EXE está asociada al troyano, y éste se volvería a cargar si ejecutamos REGEDIT en forma normal.

2. Ejecute un antivirus actualizado y anote los archivos del troyano detectados

3. Desde Inicio, Ejecutar, teclee lo siguiente (puede usar cortar y pegar) y pulse Enter:

Command /c Rename C:\Windows\Regedit.exe Regedit.com

Si Windows no está instalado en C:\WINDOWS, debe cambiar esta referencia (Ej: C:\NOMBRE\REGEDIT.EXE, etc.).

4. Desde Inicio, Ejecutar, teclee REGEDIT.COM y pulse Enter

5. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CLASSES_ROOT
\exefile
\shell
\open
\command

6. Pinche sobre la carpeta "command". En el panel de la derecha debería ver algo como:

(Predeterminado) [nombre del servidor] "%1" %*

7. Pinche sobre "(Predeterminado)" y en Información del valor, debe borrar el nombre del cargador (o sea el [nombre del servidor], que puede variar) y dejar solo esto (comillas, porcentaje, uno, comillas, espacio, porcentaje, asterisco):

"%1" %*

8. Si se aplica, borre las referencias al servidor del troyano de las siguientes claves:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Active Setup\Installed Components\KeyName

9. Borre el siguiente registro de extensión su aparece:

HKEY_CLASSES_ROOT\.dl (borre la carpeta ".DL").

10. Si se aplica, edite el archivo WIN.INI y borre todas las líneas que hagan referencias el ejecutable del troyano (la línea RUN= bajo la etiqueta [windows]). Para editarlo, desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.

11. Si se aplica, edite el archivo SYSTEM.INI y borre todas las líneas que hagan referencias el ejecutable del troyano (la línea SHELL=EXPLORER.EXE [nombre del servidor] bajo la etiqueta [boot]). Para editarlo, desde Inicio, Ejecutar, teclee SYSTEM.INI y pulse Enter.

IMPORTANTE: La línea SHELL debe quedar así:

[boot]
shell=Explorer.exe

12. Reinicie su computadora.

13. Borre los archivos pertenecientes al troyano. Si se produce un error, y un archivo no se puede eliminar por estar activo, es probable el troyano siga en memoria, y se haya cometido un error en los pasos anteriores. En ese caso reitérelos actuando minuciosamente.


Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados


Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).

Más información:

Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com