Backdoor.win32.codbot.m

编辑:灭亡网互动百科 时间:2020-01-29 19:18:31
编辑 锁定
本词条缺少名片图,补充相关内容使词条更完整,还能快速升级,赶紧来编辑吧!
该病毒通过启动 windows 的 Index service( 索引服务 ) ,及修改索引服务的路径为自身路径,达到随系统启动的目的。
中文名
Backdoor.win32.codbot.m
病毒类型
后门
危害等级
文件长度
 57,910 字节
病毒名称: backdoor.win32.codbot.m
感染系统: Windows 9x 以上系统
开发工具: Microsoft Visual C++
病毒描述:
启动时自动监测注册表中是否包含虚拟机相关键值: VMware, Inc. ,如果存在,病毒便终止自身进程。通过查找系统目录读取 winlogon.exe 文件,在 %system32%\ 目录下生成病毒体 ciclint.exe( backdoor.win32.codbot.m ) ,并编制该文件的索引。修改注册表,从而更改控制面板。
行为分析:
1、创建互斥体,互斥体名称为 “ MtxIndexingServiceMtx “ 。
2、检查注册表,若存在 HKEY_LOCAL_MACHINE\SOFTWARE\VMware,.Inc.\ ,
即虚拟机相关键值,便终止自身进程。
3、病毒文件 ciclint.exe 后加入系统进程,文件属性:只读、隐藏。
4、启动 Indexing Service 服务,并将 Indexing Service 服务关联到病毒。
5、启动服务后在系统目录下 \DOCUME~1\ADMINI~1\LOCALS~1\Temp\ 生成 del.bat 文件 ,
待病毒改变系统相关设置后便删除原病毒体及自身。
内容如下: format = "@echo off
:repeat
del "%%1"
if exist "%%1" goto repeat
:repeat2
del "%%2"
if exist "%%2" goto repeat2
6、修改注册表文件
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpIp\Parameters\Adapters HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters\
Interfaces\Tcpip_%s
7、得感染主机的相关信息。
词条标签:
计算机学 科技产品 病毒 电子产品 建筑工程 互联网