病毒概述
病毒別名:Backdoor.Win32.Codbot.o【AVP】
處理時間:
威脅級別:★★
中文名稱:
病毒類型:黑客程式
影響系統:Win9x / WinNT
病毒行為:
病毒特性
1.創建互斥量MtxDirectXDLLMtx,防止多個病毒實例運行。該病毒會檢測中的鍵值SOFTWARE\VMware, Inc.\來防止虛擬機跟蹤,並且防止被調試。然後將自身複製到系統目錄%system%\dxdllsvc.exe。
2.修改註冊表,將自身載入為服務。
【HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DirectX DLL】
"Type"=dword:00000110
"Start"=dword:00000002
"ErrorControl"=dword:00000000
"ImagePath"="%system%\dxdllsvc.exe"
"DisplayName"="DirectX DLL Register Support Service"
"ObjectName"="LocalSystem"
"FailureActions"="<省略>"
"Description"="Managing the installation and displaying of DirectX objects."
【HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DirectX DLL\Security】
"Security"="<省略>"
【HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DirectX DLL\Enum】
"0"="Root\\LEGACY_DIRECTX_DLL\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\\Minimal\DirectX DLL\
"默認"="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\\Network\DirectX DLL\
"默認"="Service"
HKLM\SYSTEM\CurrentControlSet\Services\TcpIp\Parameters\Adapters\
"NetbiosOptions"=
HKLM\SOFTWARE\Microsoft\OLE\
"EnableDCOM"="N"
HKLM\SYSTEM\CurrentControlSet\Services\NetDDE\
"Start"=dword:0x3
HKLM\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\
"MaxClientRequestBuffer"=dword:4000h
3.下載網路檔案,保存為%system%\soundblaster.exe(Win32.Hack.Rbot),並運行該病毒。
4.在感染的計算機上打開後門連線埠,其中一個用作Web代理,一個隨機連線埠用來進行接收外部命令。
5.傳送感染機器上數據到遠程網頁,這些數據包含機器的CPU信息、IP位址以及打開的連線埠號信息等信息。
6.利用PStore獲取帳號信息,並傳送到外界。
7.控制端利用mIRC遠程控制被感染機器。
