基本介紹
- 外文名:Win32.Hack.Codbot.o
- 病毒別名:Backdoor.Win32.Codbot.o[AVP]
- 威脅級別:★★
- 病毒類型:黑客程式
基本信息,病毒行為,
基本信息
影響系統:Win9x / WinNT
病毒行為
1.創建互斥量MtxDirectXDLLMtx,防止多個病毒實例運行。該病毒會檢測中的鍵值SOFTWARE\VMware, Inc.\來防止虛擬機跟蹤,並且防止被調試。然後將自身複製到烏鴉龍嚷系犁請嬸統目錄%system%\dxdllsvc.exe。
2.修改註冊表達犁乎,將自身載入為服務。
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DirectX DLL]
"Type"=dword:00000110
"Start"=dword:00000002
"ErrorControl"=dword:00000000
"ImagePath"="%system%\dxdllsvc.exe"
"達遙DisplayName"="DirectX DLL Register Support Service"
"ObjectName"="LocalSystem"
"FailureActions"="<省略>"
"Description"="Managing the installation and displaying of DirectX objects."
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DirectX DLL\Security]
"Security"="<省略>"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DirectX DLL\Enum]
"0"="Root\\LEGACY_DIRECTX_DLL\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\\Minimal\DirectX DLL\
"默認"="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\\Network\DirectX DLL\
"默認"="Service"艱格嚷
HKLM\SYSTEM\CurrentControlSet\Services\TcpIp\Parameters\Adapters\
"試盛贈NetbiosOptions"=
HKLM\SOFTWARE\Microsoft\OLE\
"EnableDCOM"="N"
HKLM\SYSTEM\CurrentControlSet\Services\NetDDE\
"Start"=dword:0x3
HKLM\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\
"MaxClientRequestBuffer"=dword:4000h
3.下載網路檔案,保存為%system%\soundblaster.exe(Win32.Hack.RBot),並運行該病毒。
5.傳送感染機器上數據到遠程網頁,這些數據包含機器的CPU信息、IP位址以及打開的連線埠號信息等信息。
6.利用芝歡您戀PStore獲取帳號信息,並傳送到外界。
7.控制端利用mIRC遠程控制被感染機器。
"EnableDCOM"="N"
HKLM\SYSTEM\CurrentControlSet\Services\NetDDE\
"Start"=dword:0x3
HKLM\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\
"MaxClientRequestBuffer"=dword:4000h
3.下載網路檔案,保存為%system%\soundblaster.exe(Win32.Hack.RBot),並運行該病毒。
5.傳送感染機器上數據到遠程網頁,這些數據包含機器的CPU信息、IP位址以及打開的連線埠號信息等信息。
6.利用PStore獲取帳號信息,並傳送到外界。
7.控制端利用mIRC遠程控制被感染機器。
