病毒名称:Sub7
别名:SubSeven,BackDoor-G
病毒特点:
该病毒是一个基于Windows 9x的特洛伊木马,当该木马运行的时候,它能够通过Internet向运行相应客户端软件的黑客提供染毒机器的所有访问权限。
该木马将向系统的Windows、Windowssystem目录下安装3个文件:
NODLL.EXE - 该文件被安装到Windows文件夹下,用来安装服务器端主程序。它是从WIN.INI文件的 'run='行被调用的。该文件被定义为BackDoor-G.ldr。
SERVER.EXE 或 KERNEL16.DL 或 WINDOW.EXE - 该文件被安装到Windows目录下,它是该木马主要负责通过Internet 接收并执行从客户端软件传来的命令。该文件被定义为BackDoor-G.srv。这个程序通常是用户收到的第一个文件,在这个文件中包含其他两个文件的副本。
WATCHING.DLL or LMDRK_33.DLL - 该文件被复制到Windowssystem目录中,它是被木马的服务器端程序用来监视与客户端软件进行的网络连接。它被定义为BackDoor-G.dll。
该木马通过四种以上不同的方式与操作系统“挂接”:
1、在WIN.INI文件的[Windows]部分的"run="行添加该木马的服务器端主程序;
2、在SYSTEM.INI文件的[boot]部分的"shell"行的末尾添加该木马的服务器端主程序;
3、添加注册键:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
和
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
4、通过改变注册键值来改变操作系统运行EXE文件的方式
HKEY_CLASSES_ROOTexefileshellopencommand(Default)
将值从原来的""%1" %*" 改为 "mueexe.exe "%1" %*"
这样将导致每次操作系统要执行EXE文件的时候都先运行木马的安装程序,然后安装程序运行服务器端的主程序(如果还为运行),最后才运行系统想要执行的EXE文件。
该木马同样更改注册键使得扩展名为.dl的文件能够在系统运行EXE文件时也被执行,这样就使攻击者能够往染毒机器中下载文件并运行。由于扩展名不再反映可执行文件,所以一些反病毒软件不能扫描到它们,系统也不能将他们悬挂。
