基本信息

病毒行为

基本信息

病毒别名：Backdoor.Win32.Codbot.o[AVP]

处理时间：

威胁级别：★★

中文名称：

病毒类型：黑客程序

影响系统：Win9x / WinNT

病毒行为

该病毒能够反VMware虚拟机，防止被调试跟踪。病毒将自身加载为自启动服务“DirectX DLL”，以此来达到开机运行的目的。病毒还下载网络文件保存到系统目录并运行它，这个下载的文件是Win32.Hack.RBot病毒。病毒在感染的计算机上打开后门端口，其中一个用作Web代理，一个随机端口用来进行接收外部命令，控制端利用mIRC远程控制被感染机器。控制端可以获取被感染机器的CPU信息、IP地址以及打开的端口号信息以及利用PStore获取的各种帐号密码信息。

1.创建互斥量MtxDirectXDLLMtx，防止多个病毒实例运行。该病毒会检测中的键值SOFTWARE\\VMware, Inc.\\来防止虚拟机跟踪，并且防止被调试。然后将自身复制到系统目录%system%\\dxdllsvc.exe。

2.修改注册表，将自身加载为服务。

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\DirectX DLL]

"Type"=dword:00000110

"Start"=dword:00000002

"ErrorControl"=dword:00000000

"ImagePath"="%system%\\dxdllsvc.exe"

"DisplayName"="DirectX DLL Register Support Service"

"ObjectName"="LocalSystem"

"FailureActions"="<省略>"

"Description"="Managing the installation and displaying of DirectX objects."

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\DirectX DLL\\Security]

"Security"="<省略>"

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\DirectX DLL\\Enum]

"0"="Root\\\\LEGACY_DIRECTX_DLL\\\\0000"

"Count"=dword:00000001

"NextInstance"=dword:00000001

HKLM\\SYSTEM\\CurrentControlSet\\Control\\SafeBoot\\\\Minimal\\DirectX DLL\\

"默认"="Service"

HKLM\\SYSTEM\\CurrentControlSet\\Control\\SafeBoot\\\etwork\\DirectX DLL\\

"默认"="Service"

HKLM\\SYSTEM\\CurrentControlSet\\Services\\TcpIp\\Parameters\\Adapters\\

"NetbiosOptions"=

HKLM\\SOFTWARE\\Microsoft\\OLE\\

"EnableDCOM"="N"

HKLM\\SYSTEM\\CurrentControlSet\\Services\etDDE\\

"Start"=dword:0x3

HKLM\\SYSTEM\\CurrentControlSet\\Services\\W3SVC\\Parameters\\

"MaxClientRequestBuffer"=dword:4000h

3.下载网络文件，保存为%system%\\soundblaster.exe（Win32.Hack.RBot)，并运行该病毒。

4.在感染的计算机上打开后门端口，其中一个用作Web代理，一个随机端口用来进行接收外部命令。

5.发送感染机器上数据到远程网页，这些数据包含机器的CPU信息、IP地址以及打开的端口号信息等信息。

6.利用PStore获取帐号信息，并发送到外界。

7.控制端利用mIRC远程控制被感染机器。