該病毒是一個基於Windows 9x的特洛伊木馬,當該木馬運行的時候,它能夠通過Internet向運行相應客戶端軟體的黑客提供染毒機器的所有訪問許可權。該木馬將向系統的Windows、Windows\system目錄下安裝3個檔案:
NODLL.EXE - 該檔案被安裝到Windows資料夾下,用來安裝伺服器端主程式。它是從WIN.INI檔案的 'run='行被調用的。該檔案被定義為BackDoor-G.ldr。SERVER.EXE 或 KERNEL16.DL 或 WINDOW.EXE - 該檔案被安裝到Windows目錄下,它是該木馬主要負責通過Internet 接收並執行從客戶端軟體傳來的命令。該檔案被定義為BackDoor-G.srv。這個程式通常是用戶收到的第一個檔案,在這個檔案中包含其他兩個檔案的副本。WATCHING.DLL or LMDRK_33.DLL - 該檔案被複製到Windows\system目錄中,它是被木馬的伺服器端程式用來監視與客戶端軟體進行的網路連線。它被定義為BackDoor-G.dll。
基本介紹
- 中文名:Sub7病毒
- 外文名:BackDoor-G.dll
- 別名:SubSeven
- 任務:接收並執行從客戶端軟體傳來命令
基本介紹,感染方式,
基本介紹
病毒名稱:Sub7
別名:SubSeven,BackDoor-G
感染方式
該木馬通過四種以上不同的方式與作業系統“掛接”:
1、在WIN.INI檔案的[Windows]部分的"run="行添加該木馬的伺服器端主程式;
2、在SYSTEM.INI檔案的[boot]部分的"shell"行的末尾添加該木馬的伺服器端主程式;
3、添加註冊鍵:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
和
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
4、通過改變註冊鍵值來改變作業系統運行EXE檔案的方式
HKEY_CLASSES_ROOT\exefile\shell\open\command\(Default)
將值從原來的""%1" %*" 改為 "mueexe.exe "%1" %*"
這樣將導致每次作業系統要執行EXE檔案的時候都先運行木馬的安裝程式,然後安裝程式運行伺服器端的主程式(如果還為運行),最後才運行系統想要執行的EXE檔案。
該木馬同樣更改註冊鍵使得擴展名為.dl的檔案能夠在系統運行EXE檔案時也被執行,這樣就使攻擊者能夠往染毒機器中下載檔案並運行。由於擴展名不再反映執行檔,所以一些反病毒軟體不能掃描到它們,系統也不能將他們懸掛。
