简介

Sub7木马的工作原理

Sub7木马的影响力

简介

木马名称和别名：Sub7，SubSeven，BackDoor-G

SubSeven是一个基于Windows 9x的特洛伊木马，当该木马运行的时候，它能够通过Internet向运行相应客户端软件的黑客提供染毒机器的所有访问权限。 和冰河一样，它可以远程控制其它计算机，可用于违法活动(例如盗号、信用卡密码)。

Sub7木马的工作原理

该木马将向系统的Windows、Windows\\system目录下安装3个文件：

NODLL.EXE - 该文件被安装到Windows文件夹下，用来安装服务器端主程序。它是从WIN.INI文件的 'run='行被调用的。该文件被定义为BackDoor-G.ldr。

SERVER.EXE 或 KERNEL16.DL 或 WINDOW.EXE - 该文件被安装到Windows目录下，它是该木马主要负责通过Internet 接收并执行从客户端软件传来的命令。该文件被定义为BackDoor-G.srv。这个程序通常是用户收到的第一个文件，在这个文件中包含其他两个文件的副本。

WATCHING.DLL or LMDRK_33.DLL - 该文件被复制到Windows\\system目录中，它是被木马的服务器端程序用来监视与客户端软件进行的网络连接。它被定义为BackDoor-G.dll。

该木马通过四种以上不同的方式与操作系统“挂接”：

1、在WIN.INI文件的[Windows]部分的"run="行添加该木马的服务器端主程序；

2、在SYSTEM.INI文件的[boot]部分的"shell"行的末尾添加该木马的服务器端主程序；

3、添加注册键：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices\\

和

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\

4、通过改变注册键值来改变操作系统运行EXE文件的方式

HKEY_CLASSES_ROOT\\exefile\\shell\\open\\command\\(Default)

将值从原来的""%1" %*" 改为 "mueexe.exe "%1" %*"

这样将导致每次操作系统要执行EXE文件的时候都先运行木马的安装程序，然后安装程序运行服务器端的主程序（如果还为运行），最后才运行系统想要执行的EXE文件。

该木马同样更改注册键使得扩展名为.dl的文件能够在系统运行EXE文件时也被执行，这样就使攻击者能够往染毒机器中下载文件并运行。由于扩展名不再反映可执行文件，所以一些反病毒软件不能扫描到它们，系统也不能将他们悬挂。

Sub7木马的影响力

SubSeven大概是世界上最著名的木马，也是最优秀的远程控制软件之一。

SubSeven 的端口号6667被一些后辈木马所模仿，例如广外女生的端口号是6267。SubSeven不仅在木马界有着很大的影响力，它的魅力也波及其它一些领域，例如，其蓝色科幻风格的界面被一款黑客模拟游戏《黑客链接》(Uplink)所借鉴，又例如，在SubSeven木马诞生的同年便出现了一支叫做SubSeven的乐队。