Sub7

木馬名稱和別名：Sub7，SubSeven，BackDoor-G

和冰河一樣，它可以遠程控制其它計算機，可用於違法活動(例如盜號、信用卡密碼)。

該木馬將向系統的Windows、Windows\system目錄下安裝3個文件：

NODLL.EXE - 該文件被安裝到Windows文件夾下，用來安裝服務器端主程序。它是從WIN.INI文件的 'run='行被調用的。該文件被定義為BackDoor-G.ldr。

SERVER.EXE 或 KERNEL16.DL 或 WINDOW.EXE - 該文件被安裝到Windows目錄下，它是該木馬主要負責通過Internet 接收並執行從客户端軟件傳來的命令。該文件被定義為BackDoor-G.srv。這個程序通常是用户收到的第一個文件，在這個文件中包含其他兩個文件的副本。

WATCHING.DLL or LMDRK_33.DLL - 該文件被複制到Windows\system目錄中，它是被木馬的服務器端程序用來監視與客户端軟件進行的網絡連接。它被定義為BackDoor-G.dll。

該木馬通過四種以上不同的方式與操作系統“掛接”：

1、在WIN.INI文件的[Windows]部分的"run="行添加該木馬的服務器端主程序；

2、在SYSTEM.INI文件的[boot]部分的"shell"行的末尾添加該木馬的服務器端主程序；

3、添加註冊鍵：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\

和

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

4、通過改變註冊鍵值來改變操作系統運行EXE文件的方式

HKEY_CLASSES_ROOT\exefile\shell\open\command\(Default)

將值從原來的""%1" %*" 改為 "mueexe.exe "%1" %*"

這樣將導致每次操作系統要執行EXE文件的時候都先運行木馬的安裝程序，然後安裝程序運行服務器端的主程序（如果還為運行），最後才運行系統想要執行的EXE文件。

該木馬同樣更改註冊鍵使得擴展名為.dl的文件能夠在系統運行EXE文件時也被執行，這樣就使攻擊者能夠往染毒機器中下載文件並運行。由於擴展名不再反映可執行文件，所以一些反病毒軟件不能掃描到它們，系統也不能將他們懸掛。

SubSeven大概是世界上最著名的木馬，也是最優秀的遠程控制軟件之一。

SubSeven 的端口號6667被一些後輩木馬所模仿，例如廣外女生的端口號是6267。SubSeven不僅在木馬界有着很大的影響力，它的魅力也波及其它一些領域，例如，其藍色科幻風格的界面被一款黑客模擬遊戲《黑客鏈接》(Uplink)所借鑑，又例如，在SubSeven木馬誕生的同年便出現了一支叫做SubSeven的樂隊。