基本介紹
病毒名稱:Sub7
別名:SubSeven,BackDoor-G
感染方式
該木馬通過四種以上不同的方式與作業系統“掛接”:
1、在WIN.INI檔案的[Windows]部分的"run="行添加該木馬的伺服器端主程式;
2、在SYSTEM.INI檔案的[boot]部分的"shell"行的末尾添加該木馬的伺服器端主程式;
3、添加註冊鍵:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
和
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
4、通過改變註冊鍵值來改變作業系統運行EXE檔案的方式
HKEY_CLASSES_ROOT\exefile\shell\open\command\(Default)
將值從原來的""%1" %*" 改為 "mueexe.exe "%1" %*"
這樣將導致每次作業系統要執行EXE檔案的時候都先運行木馬的安裝程式,然後安裝程式運行伺服器端的主程式(如果還為運行),最後才運行系統想要執行的EXE檔案。
該木馬同樣更改註冊鍵使得擴展名為.dl的檔案能夠在系統運行EXE檔案時也被執行,這樣就使攻擊者能夠往染毒機器中下載檔案並運行。由於擴展名不再反映執行檔,所以一些反病毒軟體不能掃描到它們,系統也不能將他們懸掛。
