TROJ_SUB7.21.E — Win32-троянец, представляющий собой еще одну версию хакерской программы под названием TROJ_SUB7
(утилита скрытого администрирования компьютеров в сети с удаленного терминала. По возможностям напоминает Back Orifice trojan).
Этот backdoor-троянец позволяет удаленному «пользователю» осуществлять доступ на зараженную машину. В Windows Explorer троянец «косит» под MPEG-файл (имеет иконку, похожую на значок MPEG-файла).
После выполнения троянец записывает свою копию в корневой каталог Windows в виде файла MSREXE.EXE. Чтобы запускаться после перезагрузки системы, троянец модифицирует на инфицированном компьютере файлы:
WIN.INI, добавляя в него следующую команду:
lineRun = MSREXE.exe
а также SYSTEM.INI, добавляя:
Shell = Explorer.exe MSREXE.exe