Im Umlauf seit ca.
seit ca. März 1999 (die vorliegende Version) Filegröße ZIP/EXE
Server: 246 KB / Client: 305 KB
Mögliche Programm-Icone
Eintragung zwecks Autorun bei Systemstart
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run\SysTrayIcon.Exe
Mögliche Verzeichnisse, wo auffindbar
C:\Windows\
Beschreibung
Dieses ist noch ein recht neuer Trojaner. - Es handelt sich um ein Server-Programm (wie NetBus/Back Orifice etc.). - Das Programm besteht aus dem Clienten mit der Bezeichnung "SubSeven" (Größe: 305 KB) und dem Server, der der eigentliche Trojaner ist (Größe: 246 KB). Der Server trägt das Icon einer Setup-Datei. - Nach Start wird eine Kopie unter dem Namen "SysTryIcon.Exe" im Windows-Ordner angelegt. Desweiteren ein Ini-File, der vermutlich dazu dient, Daten (insbesondere Passwörter) darin abzuspeichern. Ausserdem wird eine Eintragung in der Registrierung unter dem Pfad: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run\SysTrayIcon.Exe angelegt. Jedoch gibt es auch Meldungen, dass dieses Programm sich in die Win.ini unter "load=" oder "run=" eintragen kann. Dieses kann zuvor von der Person, die das Programm verbreiten will, eingestellt werden. Somit ist gewaehrleistet, dass der Trojaner im Hintergrund beim booten des Systems mitgestartet wird. Ein befallender Computer mit Sub7 kann mit Hilfe des Clienten unter voller Kontrolle gebracht werden.
Besonderheiten
Oben genannte Icone und Programmnamen zwecks Tarnung können abweichen. - Schwer erkennbar !
Entfernung
Eintrag in der Registrierung bzw. Win.ini löschen, Windows neu starten, "SysTrayIconExe" und den genannten ini-File aus dem Windows- Ordner löschen.