海之美文新闻资讯
Sub7病毒
该病毒是一个基于Windows 9x的特洛伊木马,当该木马运行的时候,它能够通过Internet向运行相应客户端软体的黑客提供染毒机器的所有访问许可权。该木马将向系统的Windows、Windows\system目录下安装3个档案:
NODLL.EXE - 该档案被安装到Windows资料夹下,用来安装伺服器端主程式。它是从WIN.INI档案的 'run='行被调用的。该档案被定义为BackDoor-G.ldr。SERVER.EXE 或 KERNEL16.DL 或 WINDOW.EXE - 该档案被安装到Windows目录下,它是该木马主要负责通过Internet 接收并执行从客户端软体传来的命令。该档案被定义为BackDoor-G.srv。这个程式通常是用户收到的第一个档案,在这个档案中包含其他两个档案的副本。WATCHING.DLL or LMDRK_33.DLL - 该档案被複製到Windows\system目录中,它是被木马的伺服器端程式用来监视与客户端软体进行的网路连线。它被定义为BackDoor-G.dll。
基本介绍
- 中文名:Sub7病毒
- 外文名:BackDoor-G.dll
- 别名:SubSeven
- 任务:接收并执行从客户端软体传来命令
基本介绍
病毒名称:Sub7
别名:SubSeven,BackDoor-G
感染方式
该木马通过四种以上不同的方式与作业系统“挂接”:
1、在WIN.INI档案的[Windows]部分的"run="行添加该木马的伺服器端主程式;
2、在SYSTEM.INI档案的[boot]部分的"shell"行的末尾添加该木马的伺服器端主程式;
3、添加注册键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
和
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
4、通过改变注册键值来改变作业系统运行EXE档案的方式
HKEY_CLASSES_ROOT\exefile\shell\open\command\(Default)
将值从原来的""%1" %*" 改为 "mueexe.exe "%1" %*"
这样将导致每次作业系统要执行EXE档案的时候都先运行木马的安装程式,然后安装程式运行伺服器端的主程式(如果还为运行),最后才运行系统想要执行的EXE档案。
该木马同样更改注册键使得扩展名为.dl的档案能够在系统运行EXE档案时也被执行,这样就使攻击者能够往染毒机器中下载档案并运行。由于扩展名不再反映执行档,所以一些反病毒软体不能扫描到它们,系统也不能将他们悬挂。