§ 病毒名称：

Sub7

§ 别名：

SubSeven，BackDoor-G

§ 病毒特点：

NODLL.EXE - 该文件被安装到Windows文件夹下，用来安装服务器端主程序。它是从WIN.INI文件的 'run='行被调用的。该文件被定义为BackDoor-G.ldr。

SERVER.EXE 或 KERNEL16.DL 或 WINDOW.EXE - 该文件被安装到Windows目录下，它是该木马主要负责通过Internet 接收并执行从客户端软件传来的命令。该文件被定义为BackDoor-G.srv。这个程序通常是用户收到的第一个文件，在这个文件中包含其他两个文件的副本。

WATCHING.DLL or LMDRK_33.DLL - 该文件被复制到Windows\\system目录中，它是被木马的服务器端程序用来监视与客户端软件进行的网络连接。它被定义为BackDoor-G.dll。

该木马通过四种以上不同的方式与操作系统“挂接”：

1、在WIN.INI文件的【Windows】部分的"run="行添加该木马的服务器端主程序；

2、在SYSTEM.INI文件的【boot】部分的"shell"行的末尾添加该木马的服务器端主程序；

3、添加注册键：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices\\

和

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\

4、通过改变注册键值来改变操作系统运行EXE文件的方式

HKEY_CLASSES_ROOT\\exefile\\shell\\open\\command\\(Default)

将值从原来的""%1" %*" 改为 "mueexe.exe "%1" %*"

这样将导致每次操作系统要执行EXE文件的时候都先运行木马的安装程序，然后安装程序运行服务器端的主程序（如果还为运行），最后才运行系统想要执行的EXE文件。

该木马同样更改注册键使得扩展名为.dl的文件能够在系统运行EXE文件时也被执行，这样就使攻击者能够往染毒机器中下载文件并运行。由于扩展名不再反映可执行文件，所以一些反病毒软件不能扫描到它们，系统也不能将他们悬挂。

• 诺克斯，J.
• 诺兰
• 诺兰·布什内尔
• 诺兰模型
• 诺兹多姆
• 诺加尔河
• 诺劳孜节
• 诺华
• 诺华公司
• 诺卡尔氏菌病
• 诺卫星
• 诺古尔拉
• 诺合
• 诺和灵N
• 诺和龙
• 诺埃尔·恩特威斯尔
• 诺埃尔·梅洛克斯
• 诺基亚
• 诺基亚 1100
• 诺基亚 1100
• 诺基亚 1108
• 诺基亚 1108
• 诺基亚 1110
• 诺基亚 1110
• 诺基亚 1110i