Sub7木马的工作原理木马名称和别名:Sub7,SubSeven,BackDoor-G
SubSeven是一个基于Windows 9x的特洛伊木马,当该木马运行的时候,它能够通过Internet向运行相应客户端软件的黑客提供染毒机器的所有访问权限。 和冰河一样,它可以远程控制其它计算机,可用于违法活动(例如盗号、信用卡密码)。
该木马将向系统的Windows、Windowssystem目录下安装3个文件:
NODLL.EXE - 该文件被安装到Windows文件夹下,用来安装服务器端主程序。它是从WIN.INI文件的 'run='行被调用的。该文件被定义为BackDoor-G.ldr。
SERVER.EXE 或 KERNEL16.DL 或 WINDOW.EXE - 该文件被安装到Windows目录下,它是该木马主要负责通过Internet 接收并执行从客户端软件传来的命令。该文件被定义为BackDoor-G.srv。这个程序通常是用户收到的第一个文件,在这个文件中包含其他两个文件的副本。
WATCHING.DLL or LMDRK_33.DLL - 该文件被复制到Windowssystem目录中,它是被木马的服务器端程序用来监视与客户端软件进行的网络连接。它被定义为BackDoor-G.dll。
该木马通过四种以上不同的方式与操作系统“挂接”:
1、在WIN.INI文件的[Windows]部分的"run="行添加该木马的服务器端主程序;
2、在SYSTEM.INI文件的[boot]部分的"shell"行的末尾添加该木马的服务器端主程序;
3、添加注册键:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
和
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
4、通过改变注册键值来改变操作系统运行EXE文件的方式
HKEY_CLASSES_ROOTexefileshellopencommand(Default)
将值从原来的""%1" %*" 改为 "mueexe.exe "%1" %*"
这样将导致每次操作系统要执行EXE文件的时候都先运行木马的安装程序,然后安装程序运行服务器端的主程序(如果还为运行),最后才运行系统想要执行的EXE文件。
该木马同样更改注册键使得扩展名为.dl的文件能够在系统运行EXE文件时也被执行,这样就使攻击者能够往染毒机器中下载文件并运行。由于扩展名不再反映可执行文件,所以一些反病毒软件不能扫描到它们,系统也不能将他们悬挂。
Sub7木马的影响力SubSeven大概是世界上最著名的木马,也是最优秀的远程控制软件之一。
SubSeven 的端口号6667被一些后辈木马所模仿,例如广外女生的端口号是6267。SubSeven不仅在木马界有着很大的影响力,它的魅力也波及其它一些领域,例如,其蓝色科幻风格的界面被一款黑客模拟游戏《黑客链接》(Uplink)所借鉴,又例如,在SubSeven木马诞生的同年便出现了一支叫做SubSeven的乐队。
