病毒名称： backdoor.win32.codbot.m

病毒类型：后门

危害等级：中

文件长度： 57,910 字节

感染系统： Windows 9x 以上系统

开发工具： Microsoft Visual C++

病毒描述：

该病毒通过启动 windows 的 Index service( 索引服务 ) ，及修改索引服务的路径为自身路径，达到随系统启动的目的。启动时自动监测注册表中是否包含虚拟机相关键值： VMware, Inc. ，如果存在，病毒便终止自身进程。通过查找系统目录读取 winlogon.exe 文件，在 %system32%\\ 目录下生成病毒体 ciclint.exe( backdoor.win32.codbot.m ) ，并编制该文件的索引。修改注册表，从而更改控制面板。

行为分析：

1、创建互斥体，互斥体名称为 “ MtxIndexingServiceMtx “ 。

2、检查注册表，若存在 HKEY_LOCAL_MACHINE\\SOFTWARE\\VMware,.Inc.\\ ，

即虚拟机相关键值，便终止自身进程。

3、病毒文件 ciclint.exe 后加入系统进程，文件属性：只读、隐藏。

4、启动 Indexing Service 服务，并将 Indexing Service 服务关联到病毒。

5、启动服务后在系统目录下 \\DOCUME~1\\ADMINI~1\\LOCALS~1\\Temp\\ 生成 del.bat 文件 ，

待病毒改变系统相关设置后便删除原病毒体及自身。

内容如下： format = "@echo off

:repeat

del "%%1"

if exist "%%1" goto repeat

:repeat2

del "%%2"

if exist "%%2" goto repeat2

6、修改注册表文件。

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\TcpIp\\Parameters\\Adapters HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\etBT\\Parameters\\

Interfaces\\Tcpip_%s

7、得感染主机的相关信息。