簡介
木馬名稱和別名:Sub7,SubSeven,BackDoor-G
和冰河一樣,它可以遠程控制其它計算機,可用於違法活動(例如盜號、信用卡密碼)。
Sub7木馬的工作原理
該木馬將向系統的Windows、Windows\system目錄下安裝3個檔案:
NODLL.EXE - 該檔案被安裝到Windows資料夾下,用來安裝伺服器端主程式。它是從WIN.INI檔案的 'run="行被調用的。該檔案被定義為BackDoor-G.ldr。
SERVER.EXE 或 KERNEL16.DL 或 WINDOW.EXE - 該檔案被安裝到Windows目錄下,它是該木馬主要負責通過Internet 接收並執行從客戶端軟體傳來的命令。該檔案被定義為BackDoor-G.srv。這個程式通常是用戶收到的第一個檔案,在這個檔案中包含其他兩個檔案的副本。
WATCHING.DLL or LMDRK_33.DLL - 該檔案被複製到Windows\system目錄中,它是被木馬的伺服器端程式用來監視與客戶端軟體進行的網路連線。它被定義為BackDoor-G.dll。
該木馬通過四種以上不同的方式與作業系統“掛接”:
1、在WIN.INI檔案的[Windows]部分的"run="行添加該木馬的伺服器端主程式;
2、在SYSTEM.INI檔案的[boot]部分的"shell"行的末尾添加該木馬的伺服器端主程式;
3、添加註冊鍵:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
和
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
4、通過改變註冊鍵值來改變作業系統運行EXE檔案的方式
HKEY_CLASSES_ROOT\exefile\shell\open\command\(Default)
將值從原來的""%1" %*" 改為 "mueexe.exe "%1" %*"
這樣將導致每次作業系統要執行EXE檔案的時候都先運行木馬的安裝程式,然後安裝程式運行伺服器端的主程式(如果還為運行),最後才運行系統想要執行的EXE檔案。
該木馬同樣更改註冊鍵使得擴展名為.dl的檔案能夠在系統運行EXE檔案時也被執行,這樣就使攻擊者能夠往染毒機器中下載檔案並運行。由於擴展名不再反映執行檔,所以一些反病毒軟體不能掃描到它們,系統也不能將他們懸掛。
Sub7木馬的影響力
SubSeven大概是世界上最著名的木馬,也是最優秀的遠程控制軟體之一。
SubSeven 的連線埠號6667被一些後輩木馬所模仿,例如廣外女生的連線埠號是6267。SubSeven不僅在木馬界有著很大的影響力,它的魅力也波及其它一些領域,例如,其藍色科幻風格的界面被一款黑客模擬遊戲《黑客連結》(Uplink)所借鑑,又例如,在SubSeven木馬誕生的同年便出現了一支叫做SubSeven的樂隊。