病毒名称：sub7　

别名：subseven，backdoor-g　

病毒特点：

该病毒是一个基于windows9x的特洛伊木马，当该木马运行的时候，它能够通过internet向运行相应客户端软件的黑客提供染毒机器的所有访问权限。
该木马将向系统的windows、windows\system目录下安装3个文件：
nodll.exe-该文件被安装到windows文件夹下，用来安装服务器端主程序。它是从win.ini文件的'run='行被调用的。该文件被定义为backdoor-g.ldr。
server.exe或kernel16.dl或window.exe-该文件被安装到windows目录下，它是该木马主要负责通过internet接收并执行从客户端软件传来的命令。该文件被定义为backdoor-g.srv。这个程序通常是用户收到的第一个文件，在这个文件中包含其他两个文件的副本。
watching.dllorlmdrk_33.dll-该文件被复制到windows\system目录中，它是被木马的服务器端程序用来监视与客户端软件进行的网络连接。它被定义为backdoor-g.dll。
该木马通过四种以上不同的方式与操作系统“挂接”：
1、在win.ini文件的[windows]部分的"run="行添加该木马的服务器端主程序；
2、在system.ini文件的[boot]部分的"shell"行的末尾添加该木马的服务器端主程序；
3、添加注册键：
hkey_local_machine\software\microsoft\windows\currentversion\runservices\
和
hkey_local_machine\software\microsoft\windows\currentversion\run\
4、通过改变注册键值来改变操作系统运行exe文件的方式
hkey_classes_root\exefile\shell\open\command\(default)
将值从原来的""%1"%*"改为"mueexe.exe"%1"%*"
这样将导致每次操作系统要执行exe文件的时候都先运行木马的安装程序，然后安装程序运行服务器端的主程序（如果还为运行），最后才运行系统想要执行的exe文件。

该木马同样更改注册键使得扩展名为.dl的文件能够在系统运行exe文件时也被执行，这样就使攻击者能够往染毒机器中下载文件并运行。由于扩展名不再反映可执行文件，所以一些反病毒软件不能扫描到它们，系统也不能将他们悬挂。