该病毒是一个基于Windows 9x的特洛伊木马,当该木马运行的时候,它能够通过Internet向运行相应客户端软件的黑客提供染毒机器的所来自有访问权限。该木马将向系统的Windows、Windows\system目录下360百科安装3个文件菜:
NODLL.EXE - 该文件被安装到Windows文件夹下,用来安装服务器端主程序。它是从父复间武输副找WIN.INI文件的 'run='行赵广被调用的。该文件被定义为BackDoor-G.ldr。S块括川投附并因ERVER.EXE 或 KERNEL16.DL 或 WINDOW.EXE - 该文件被雨时频变安装到Windows目录下,它是该木马主要负责通过Internet 接收并执行权强政百动曾从客户端软件传来的命令。该文件被定义为BackDoor-G.s吃适安特打内站要曲rv。这个程序通常是用户收到的第一个文件,在这个文件中包含其他两个文件的副本。WATCHING.DLL or LMDRK_33.DL置自然贵家仍肉L - 该文件被复制到Windows\system目录中,它是被木马的服务器端程序用来监视与客户端软件进行的统高风度打地网络连接。它被定义为BackDoor-G.dll。
- 中文名称 Sub7病毒
- 外文名称 BackDoor-G.dll
- 别名 SubSeven
- 任务 接收并执行从客户端软件传来命令
基本介绍
病毒名称:Sub7
别名:SubSeven来自,BackDoor-G
感染方式
该木马通过四种以上不同的方式与操作系统"挂接":
360百科 1、在WIN.INI文件的[Windows]部分的"run="行添加该木马的服务器端主程序;
2、在SYSTEM.INI文件的[boot]部分的"shell"行的末尾添加该木马的服务器端主程序;
3、添加注册键:
HKEY_LOCAL_MACH围甲机括论区章促神INE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
和
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
4、通过改变注册键值来改变操作系统运行EXE文件的方式
HKEY_CLASSES_ROOT\exefile\shell\open\command\(Default)
将值从原来的""%1" %*" 改为 "mueexe.exe "%1" %*"
这样将导致每次操作系统要执行EXE文件的时候都先运行木马的安装程序,然后安装程序运行服务器端的主程序(如果还为运行),最后才运行系统想要执行的EXE文件受章满方社排。
该木马同样更改注册键使得扩展名为.dl的黑洲据界文件能够在系统运行EXE文件时也被执行,这样就使攻击者能够往染毒机器中下载文日六力岩深吃落护件并运行。由于扩展名不再反映可执行文件,所以一些反病毒软件不能扫描到它们,系统也不能将他们悬挂矿亚乡号周讨酒执刻。
