Alias: BackDoor-G2.svr.idr, SUB7.22.D, BackDoor-G2.svr.gen, BackDoor.Subseven.22, BackDoor-EP, BackDoor-G2, BackDoor-G2.gen, BackDoor-G2.srv.20, BackDoor, PolyDrop, Badman Trojan, Serbian Badman Trojan, Sub7 v2.x, SubSeven v2.1, SubSeven v2.1 Gold, SubSeven v2.12, SubSeven v2.13, SubSeven v2.2 Beta, Troj_Sub7. 22.d, TROJ_SUB7.MUIE, Troj_Sub7 v20, TSB Trojan

Este nuevo miembro de la familia de troyanos backdoor SubSeven apareció por primera vez en Marzo de 2001 y tiene diferentes formas de ejecución: desde el registro de Windows, como si fuera un componente instalado; desde el directorio de Inicio creado desde el registro y, como un archivo explorer.exe desde el directorio raíz del sistema.

Estos troyanos se utilizan para realizar acciones en un PC (infectado), desde otro atacante. Suelen dividirse en dos o tres partes:

- un programa "cliente" que el atacante lanza desde su propia máquina y tiene habilidades de control remoto tales como la posibilidad de editar el archivo registro del servidor windows, flip la pantalla, modificar los colores del escritorios...

- un programa "servidor" que debe introducir dentro del ordenador de la víctima, normalmente falseado por una ilustración JPG o BMP con un archivo adjunto que al ser ejecutado inserta las dos partes del troyano en el disco duro bajo diferentes nombres que pueden variar, o bien como una tarjeta de felicitación electrónica. Y será el que permita el acceso al cliente.

- La tercera utilidad que puede incluir puede utilizarse para configurar el programa servidor. Es posible parchear el servidor con cualquier ejecutable de modo que parezca como si un usuario recibiese una archivo válido en lugar del troyano. El programa de configuración del servidor también configura la forma en que se instala el servidor. Para instalarse puede utilizar el archivo de registro de Windows.

Las posibilidades del troyano son impresionantes, ya que puede cambiar distintas funciones del equipo, entre las que se encuentran:

Cambiar botones del mouse
Cambio de colores de Windows
Cambio de datos de una unidad local
Deshabilitar/Habilitar combinación de teclas CTRL+ALT+DEL
Deshabilitar/Habilitar cualquier tecla
Encendido/Apagado de Caps Lock, Nums Lock, Scroll Lock
Apertura de la bandeja del CD-ROM
Puede espiar conversaciones en AQL Instant Messenger, ICQ, Microsoft Messenger y Yahoo!
Obtener passwords 
Redireccionar aplicaciones y puertos
Leer las últimas teclas pulsadas en el servidor durante el último arranque

También puede modificar los archivos Win.ini y System.ini de Windows de modo que el servidor se ejecute en cada arranque.