Backdoor.win32.codbot.m

病毒名称： backdoor.win32.codbot.m

病毒类型：后门

危害等级：中

文件长度： 57,910 字节

感染系统： Windows 9x 以上系统

开发工具： Microsoft Visual C++

病毒描述：

该病毒通过启动 windows 的 Index service( 索引服务 ) ，及修改索引服务的路径为自身路径，达到随系统启动的目的。启动时自动监测注册表中是否包含虚拟机相关键值： VMware, Inc. ，如果存在，病毒便终止自身进程。通过查找系统目录读取 winlogon.exe 文件，在 %system32% 目录下生成病毒体 ciclint.exe( backdoor.win32.codbot.m ) ，并编制该文件的索引。修改注册表，从而更改控制面板。

行为分析：

1、创建互斥体，互斥体名称为 “ MtxIndexingServiceMtx “ 。

2、检查注册表，若存在 HKEY_LOCAL_MACHINESOFTWAREVMware,.Inc. ，

即虚拟机相关键值，便终止自身进程。

3、病毒文件 ciclint.exe 后加入系统进程，文件属性：只读、隐藏。

4、启动 Indexing Service 服务，并将 Indexing Service 服务关联到病毒。

5、启动服务后在系统目录下 DOCUME~1ADMINI~1LOCALS~1Temp 生成 del.bat 文件 ，

待病毒改变系统相关设置后便删除原病毒体及自身。

内容如下： format = "@echo off

:repeat

del "%%1"

if exist "%%1" goto repeat

:repeat2

del "%%2"

if exist "%%2" goto repeat2

6、修改注册表文件。

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpIpParametersAdapters HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters

InterfacesTcpip_%s

7、得感染主机的相关信息。