Worm.Troj.Ciadoor.12是一个集多种盗取手段于一身的后门病毒。该病毒文件图标为图片文件图标，诱骗用户运行。一旦用户运行之后，该病毒将自己复制到系统目录，改成于系统进程极其相似的文件名，迷惑用户。

病毒概述

病毒性质

病毒行为

病毒概述

病毒别名：Backdoor.Win32.Ciadoor.122.d[AVP]

处理时间：

威胁级别：★★

中文名称：间谍之门

病毒类型：蠕虫

影响系统：Win9x / WinNT

病毒性质

值得一提的是，该病毒的优先级别是实时。它修改注册表使自己能开机运行。然后打开后门，并将用户的系统信息，例如本机IP地址、监听端口、用户名、连接密码等发送的指定地方，等待外界连接。木马种植者获取这些信息之后就可以连接到中了该病毒的用户电脑，几乎可以完全控制该用户的电脑:进行各种文件操作，查看或者关闭进程，控制窗口，获取视频、音频，记录键盘消息，盗取缓存中的密码，关闭系统，更改电脑的各种设置，查看浏览器历史记录，盗取剪贴板信息，盗取系统信息；它还盗取各种密码，包括游戏和软件的CDKEY以及序列号。

病毒行为

1.在WinNT系统将自己复制为%System32%\\WinIogon.exe，并且释放文件%System32%\\%System32%\\ckl009.dat，病毒进程优先级为实时；在Win9X系统将自己复制为%SystemRoot%\\WinIogon.exe，

2.修改注册表：

添加表项(WinNT)：

"Windows Logon"="%System32%\\WinIogon.exe"

到下面的一项或者几项：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\Explorer\\Run

HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices

HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Windows\\Run

修改表项：

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows

"run"="WinIogon.exe"

"load"="WinIogon.exe"

修改表项(WinNT)：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\winlogon

"shell"="Explorer.exe WinIogon.exe"

添加表项(Win9X)：

"Windows Logon"="%SystemRoot%\\WinIogon.exe"

到下面的一项或者几项：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\Explorer\\Run

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\winlogon

HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices

HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Windows\\Run

3.在Win9X系统，修改Win.ini和System.ini文件：

Win.ini

[windows]

load="C:\\WINDOWS\\WinIogon.exe"

run="C:\\WINDOWS\\WinIogon.exe"

System.ini

[boot]

shell=Explorer.exe C:\\WINDOWS\\WinIogon.exe

4.使用ICQ邮件或者CGI脚本发送给木马种植者本机系统信息，例如I本机P地址、监听端口、用户名、服务器版本、服务器密码等等。

5.开放TCP端口6333供外界木马种植者连接并控制本机（默认开放TCP端口5888、6888）。控制端可以对本机做以下操作：

复制、移动、删除以及执行文件；

查看或者关闭进程；

控制窗口；

抓取屏幕

抓取音频；

记录键盘消息；

控制网络摄像机并抓取图片；

盗取缓存中的密码；

上传下载文件；

关闭系统

控制电脑：打开关闭CD-ROM，改变键盘设置，隐藏/显示桌面，隐藏/显示任务栏，改变屏幕分辨率，控制鼠标等等；

查看浏览器历史记录；

盗取剪贴板信息；

盗取系统信息；

创建并运行批处理文件；

盗取系统文件；

运行DOS密码；

弹出假冒的MSN登陆用户窗口盗取MSN帐号和密码；

6.盗取游戏和软件的CDKEY以及序列号：

Counter-Strike

Half-Life

C&C Generals

Gunman Chronicles

Adobe Photoshop 6.0

IGI 2 - Covert Strike

Industry Giant 2

James Bond 007 - Nightfire

Medal Of Honor: Allied Assault

Medal Of Honor: Allied Assault - Spearhead

Need For Speed: Hot Pursuit 2

Shogun: Total War - Warlord Edition

Operation Flashpoint

Soldiers Of Anarchy

Unreal Tournament 2003

FIFA 2003

Red Alert 2

Red Alert Tiberian Sun

Operation Flashpoint Resistance

Sim City 4

US Special Forces: Team Factor

Adobe Photoshop 7.0

Adobe Illustrator 10.0

MIRC

Micro DVD Player

Adobe Photoshop Plugin Eye Candy 4.0

Adobe Photoshop Plugin Xenofex 1.0

Borland C++ Builder 6 Key

Borland C++ Builder 6 Licence

Delphi 6 Key

Delphi 6

Delphi 7

Macromedia Dreamweaver MX

Macromedia Flash MX

Macromedia Flash 5

Macromedia Freehand 10

Macromedia Fireworks MX