Sub7病毒

標籤: 暫無標籤

29

更新時間: 2013-12-04

廣告

該病毒是一個基於Windows 9x的特洛伊木馬,當該木馬運行的時候,它能夠通過Internet向運行相應客戶端軟體的黑客提供染毒機器的所有訪問許可權。

Sub7病毒 -病毒名稱:
Sub7  

Sub7病毒 -別名:
SubSeven,BackDoor-G  

Sub7病毒 -病毒特點:


NODLL.EXE - 該文件被安裝到Windows文件夾下,用來安裝伺服器端主程序。它是從WIN.INI文件的 'run='行被調用的。該文件被定義為BackDoor-G.ldr。
server.exe 或 KERNEL16.DL 或 window.exe - 該文件被安裝到Windows目錄下,它是該木馬主要負責通過Internet 接收並執行從客戶端軟體傳來的命令。該文件被定義為BackDoor-G.srv。這個程序通常是用戶收到的第一個文件,在這個文件中包含其他兩個文件的副本。
WATCHING.DLL or LMDRK_33.DLL - 該文件被複制到Windows\system目錄中,它是被木馬的伺服器端程序用來監視與客戶端軟體進行的網路連接。它被定義為BackDoor-G.dll。
該木馬通過四種以上不同的方式與操作系統「掛接」:
1、在WIN.INI文件的【Windows】部分的"run="行添加該木馬的伺服器端主程序;
2、在SYSTEM.INI文件的【boot】部分的"shell"行的末尾添加該木馬的伺服器端主程序;
3、添加註冊鍵:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
4、通過改變註冊鍵值來改變操作系統運行EXE文件的方式
HKEY_CLASSES_ROOT\exefile\shell\open\command\(Default)
將值從原來的""%1" %*" 改為 "mueexe.exe "%1" %*"
這樣將導致每次操作系統要執行EXE文件的時候都先運行木馬的安裝程序,然後安裝程序運行伺服器端的主程序(如果還為運行),最後才運行系統想要執行的EXE文件。

該木馬同樣更改註冊鍵使得擴展名為.dl的文件能夠在系統運行EXE文件時也被執行,這樣就使攻擊者能夠往染毒機器中下載文件並運行。由於擴展名不再反映可執行文件,所以一些反病毒軟體不能掃描到它們,系統也不能將他們懸挂。

廣告