Sub7 (y muchos otros troyanos también) se compone de tres archivos principales:

- SERVER
- CLIENTE
- EDITSERVER

¿QUE ES EL SERVER?
La primera parte (Server) es un pequeño programa de alrededor de 370KB , este archivo se instala en la computadora remota mejor conocida como "VICTIMA" ( infectar la otra pc ). El Server puede ser empaquetado con otro ejecutable para esconderlo pero de cualquier forma debe instalarse en la "VICTIMA" (si no está infectada la víctima no puedes hacerle nada). Una vez que el server se abre, se instala para que se abra automáticamente cuando se encienda la PC. También hace algunas cosas para esconderse en el DD (Disco Duro). El server básicamente lo único que hace es abrir un puerto del IP de la VICTIMA, esperando que el CLIENTE ( o sea tu) le envíe instrucciones. El server es tu llave de acceso al otro lado, creo yo este es el proceso mas difícil, el server, lo demás es pan comido.

¿QUE ES UN PUERTO DEL IP?
Cualquier dirección IP tiene más de 65000 puertos, los cuales son como "entradas" a las direcciones IP, las direcciones IP son como "el numero de puerta de la casa"... entonces "LA CASA" (el IP) tiene 65000 "puertas" (PUERTOS) Lo que hacen los puertos es recibir información ( ejemplo: el puerto 21 es del FTP, el 80 de HTTP, el 110 del SMTP ) el puerto predeterminado para los servers de las versiones 1.9 de Sub7 o anteriores es el "1243" y de las versiones 2.0 a la actual es "27374"