黑色海岸线论坛 - Powered by Discuz! Board

标题: [转帖]警惕后门病毒Backdoor.Win32.Codbot.at [打印本页]

作者: h24arb 时间: 2005-11-22 15:05 标题: [转帖]警惕后门病毒Backdoor.Win32.Codbot.at

[这个贴子最后由风三在 2005/11/22 04:34pm 第 1 次编辑]

转帖:警惕后门病毒Backdoor.Win32.Codbot.at
一、病毒标签：
病毒名称： Backdoor.Win32.Codbot.at
病毒类型：后门
危害等级：中
文件长度： 22,528 字节
感染系统： windows 98 及以上版本
开发工具： UPX-Scrambler
加壳类型： Microsoft Visual C++ 6.0

二、病毒描述：
  　该病毒属后门类，为Codbot病毒家族的一个变种。病毒主要利用微软的RPC漏洞进行传播，病毒会修改注册表文件，复制自身到系统目录下，并添加到服务，服务名为：“Netddesrv”，病毒还会尝试收集感染主机的一些信息，如：ebay账号，银行账号等，发送给病毒作者，尝试连接0x80.*****-software.org。

三、行为分析：
1、创建名为“xNeTDDEsrVx”互斥体
2、创建名为“Netddesrv”的服务，其中：
　显示名为：NetDDE Server
　描述信息为：Provides network transport and security for Dynamic Data Exchange
3、复制自身到%system%\netddesrv.exe并运行进程，关闭原进程。
　原病毒文件属性变为：只读，隐藏
4、尝试连接0x80.****-software.org的6556端口
5、修改注册表文件：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Print Spooler\DisplayName
键值: 字串: "Print Spool Handler"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Print Spooler\ImagePath
键值: 类型: C:\WINNT\System32\spooler.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
\Network\Print Spooler\@
键值: 字串: "Service"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Print Spooler\Description
键值: 字串: "Mapping the end point spool to the begin point."
6、尝试收集感染主机的一些信息，如：ebay账号，银行账号等，发送给病毒作者。
注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。
四、清除方案：
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。
================================
对不起，广告没了。

作者: moyu06 时间: 2005-11-22 20:15 标题: [转帖]警惕后门病毒Backdoor.Win32.Codbot.at

呵呵　　我就中过．．．
还是很好清楚的

欢迎光临黑色海岸线论坛 (http://bbs.thysea.com/)