Virus 版 (精华区)

发信人: mylife (小鬼), 信区: Virus
标  题: SubSeven特洛伊木马升级了 
发信站: 哈工大紫丁香 (2001年06月02日11:09:08 星期六), 站内信件

SubSeven特洛伊木马升级了
作者: X.P.
日期: 2001年03月26日
SubSeven 2.2测试版（别名Backdoor-G, Backdoor.SubSeven, Sub7）通过打开互联网上
的端口能够近一步地进入到用户的文件。找出如何删除它的方法。
SubSeven，互联网上最复杂的特洛伊木马之一，刚刚完成了另一次升级。该特洛伊木马
在1999年五月被发现，经由一个互联网上打开的端口侦听命令，该命令包括了一次分布
式拒绝服务攻击的指令。升级后的版本对于特洛伊最初的配置能力做出了改进，使得它
能够在一个受感染的系统中更好地隐藏。SubSeven的危险程度是中。
工作原理
SubSeven分布于经由新闻组和电子邮件的不同名字之下，而且可能伪装成一幅JPG或BMP
图片文件。SubSeven在运行时将在受感染的系统的Windows文件夹中安装两个文件（通常
是msrexe.exe和windos.exe）。Windos.exe允许SubSeven在一个可执行程序开始每次启
动时运行，因此使得特洛伊木马在内存中激活。如果SubSeven激活，将在任务管理器里
可见。
SubSeven会搜索TCP/IP连接并且等候由恶意的用户发送来的命令。一旦连接建立，恶意
的用户通过远程进入受感染计算机，而且能够关闭或重新启动远程计算机，修改系统注
册表，上载，下载，甚至在远程计算机删除文件。恶意的用户还能够取回存储在远程计
算机上的密码。
新特征
Version 2.2给早期版本的SubSeven添加了包括以下的新特性：
代理服务器支持. 恶意用户可以利用在用户的机器和恶意用户直接添加一个额外的代理
从而隐藏他们的真实位置。
搜集信息包. 恶意用户可以搜集受感染计算机的网络信息流量，保存到一个日志文件中
并传输该日志文件。
随机使用端口. 该版本的SubSeven可以在每次启动时随机侦听任一打开的TCIP端口，使
得更难被发现。
发送按键记录邮件. SubSeven的上一版本可以记录按键，但是该版本可以把那些记录作
为电子邮件发送回恶意用户。
未来SubSeven发展的根基. 该版本预先考虑了使得未来的版本更难被探测到的因素。
删除
大多数的防病毒软件厂商都可以侦测并删除SubSeven家族的全部不同成员。要获取更多
信息，查看F-Secure，趋势科技或McAfee。
相

--
※ 来源:·哈工大紫丁香 bbs.hit.edu.cn·[FROM: 202.118.230.238]