病毒名称(中文):
病毒别名:
Backdoor.Win32.Codbot.o[AVP]
威胁级别:
★★☆☆☆
病毒类型:
黑客程序
病毒长度:
29696
影响系统:
Win9xWinNT
病毒行为:
该病毒能够反VMware虚拟机,防止被调试跟踪。病毒将自身加载为自启动服务“DirectXDLL”,以此来达到开机运行的目的。病毒还下载网络文件保存到系统目录并运行它,这个下载的文件是Win32.Hack.RBot病毒。病毒在感染的计算机上打开后门端口,其中一个用作Web代理,一个随机端口用来进行接收外部命令,控制端利用mIRC远程控制被感染机器。控制端可以获取被感染机器的CPU信息、IP地址以及打开的端口号信息以及利用PStore获取的各种帐号密码信息。
1.创建互斥量MtxDirectXDLLMtx,防止多个病毒实例运行。该病毒会检测中的键值SOFTWARE\VMware,Inc.\来防止虚拟机跟踪,并且防止被调试。然后将自身复制到系统目录%system%\dxdllsvc.exe。
2.修改注册表,将自身加载为服务。
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DirectXDLL]
"Type"=dword:00000110
"Start"=dword:00000002
"ErrorControl"=dword:00000000
"ImagePath"="%system%\dxdllsvc.exe"
"DisplayName"="DirectXDLLRegisterSupportService"
"ObjectName"="LocalSystem"
"FailureActions"="<省略>"
"Description"="ManagingtheinstallationanddisplayingofDirectXobjects."
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DirectXDLL\Security]
"Security"="<省略>"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DirectXDLL\Enum]
"0"="Root\\LEGACY_DIRECTX_DLL\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\\Minimal\DirectXDLL"默认"="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\\Network\DirectXDLL"默认"="Service"
HKLM\SYSTEM\CurrentControlSet\Services\TcpIp\Parameters\Adapters"NetbiosOptions"=
HKLM\SOFTWARE\Microsoft\OLE"EnableDCOM"="N"
HKLM\SYSTEM\CurrentControlSet\Services\NetDDE"Start"=dword:0x3
HKLM\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters"MaxClientRequestBuffer"=dword:4000h
3.下载网络文件,保存为%system%\soundblaster.exe(Win32.Hack.RBot),并运行该病毒。
4.在感染的计算机上打开后门端口,其中一个用作Web代理,一个随机端口用来进行接收外部命令。
5.发送感染机器上数据到远程网页,这些数据包含机器的CPU信息、IP地址以及打开的端口号信息等信息。
6.利用PStore获取帐号信息,并发送到外界。
7.控制端利用mIRC远程控制被感染机器。