病毒名称: backdoor.win32.codbot.m
病毒类型:后门
危害等级:中
文件长度: 57,910 字节
感染系统: Windows 9x 以上系统
开发工具: Microsoft Visual C++
病毒描述:
该病毒通过启动 windows 的 Index service( 索引服务 ) ,及修改索引服务的路径为自身路径,达到随系统启动的目的。启动时自动监测注册表中是否包含虚拟机相关键值: VMware, Inc. ,如果存在,病毒便终止自身进程。通过查找系统目录读取 winlogon.exe 文件,在 %system32% 目录下生成病毒体 ciclint.exe( backdoor.win32.codbot.m ) ,并编制该文件的索引。修改注册表,从而更改控制面板。
行为分析:
1、创建互斥体,互斥体名称为 “ MtxIndexingServiceMtx “ 。
2、检查注册表,若存在 HKEY_LOCAL_MACHINESOFTWAREVMware,.Inc. ,
即虚拟机相关键值,便终止自身进程。
3、病毒文件 ciclint.exe 后加入系统进程,文件属性:只读、隐藏。
4、启动 Indexing Service 服务,并将 Indexing Service 服务关联到病毒。
5、启动服务后在系统目录下 DOCUME~1ADMINI~1LOCALS~1Temp 生成 del.bat 文件 ,
待病毒改变系统相关设置后便删除原病毒体及自身。
内容如下: format = "@echo off
:repeat
del "%%1"
if exist "%%1" goto repeat
:repeat2
del "%%2"
if exist "%%2" goto repeat2
6、修改注册表文件。
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpIpParametersAdapters HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters
InterfacesTcpip_%s
7、得感染主机的相关信息。
