SubSevenは,ニュースグループと電子メールを経由
してさまざまな名称で出回っている。JPEG形式または
BMP形式の画像ファイルを装うこともある。SubSeven
は,実行されると2つのファイル(通常はmsrexe.exe
とwindos.exe)を感染先システムのWindowsフォルダ
にインストールする。windos.exeは,.exeプログラム
が起動されるたびにSubSevenを実行して,SubSevenが
メモリから消えないようにする。SubSevenがアクティ
ブな時には,タスクマネージャで存在を確認できる。

 SubSevenはTCP/IPコネクションを探し,SubSeven
を植え付けた悪意を持つ攻撃者から,命令が送られて
くるのを待つ。いったんコネクションが確立される
と,攻撃者は感染したコンピュータにリモートアクセ
スできるようになり,コンピュータのシャットダウン
や再起動,システムレジストリの変更,ファイルのア
ップロード,ダウンロード,さらには削除までできる
ようになる。コンピュータに保管されたパスワードを
入手することも可能だ。