20CN网络安全小组论坛 - 病毒专区 - 转帖:警惕后门病毒Backdoor.Win32.Codbot.at

论坛: 病毒专区标题: 转帖:警惕后门病毒Backdoor.Win32.Codbot.at

作者: h24arb [h24arb]

论坛用户

转帖:警惕后门病毒Backdoor.Win32.Codbot.at

来自安天实验室： http://www.antiy.com/index.htm

一、病毒标签：
病毒名称： Backdoor.Win32.Codbot.at
病毒类型：后门
危害等级：中
文件长度： 22,528 字节
感染系统： windows 98 及以上版本
开发工具： UPX-Scrambler
加壳类型： Microsoft Visual C++ 6.0

二、病毒描述：
　该病毒属后门类，为Codbot病毒家族的一个变种。病毒主要利用微软的RPC漏洞进行传播，病毒会修改注册表文件，复制自身到系统目录下，并添加到服务，服务名为：“Netddesrv”，病毒还会尝试收集感染主机的一些信息，如：ebay账号，银行账号等，发送给病毒作者，尝试连接0x80.*****-software.org。

三、行为分析：
1、创建名为“xNeTDDEsrVx”互斥体
2、创建名为“Netddesrv”的服务，其中：
　显示名为：NetDDE Server
　描述信息为：Provides network transport and security for Dynamic Data Exchange
3、复制自身到%system%\netddesrv.exe并运行进程，关闭原进程。
　原病毒文件属性变为：只读，隐藏
4、尝试连接0x80.****-software.org的6556端口
5、修改注册表文件：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Print Spooler\DisplayName
键值: 字串: "Print Spool Handler"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Print Spooler\ImagePath
键值: 类型: C:\WINNT\System32\spooler.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
\Network\Print Spooler\@
键值: 字串: "Service"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Print Spooler\Description
键值: 字串: "Mapping the end point spool to the begin point."
6、尝试收集感染主机的一些信息，如：ebay账号，银行账号等，发送给病毒作者。
注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。

四、清除方案：
1、使用安天木马防线2005+可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

附：
安天木马防线2005+试用版下载地址: http://www.antiy.com/product/ghostbusters/index.htm
病毒上报信箱: submit@virusview.net

木马防线2005+：
木马防线2005+是安天实验室出品的个人信息安全产品，是木马防线2005的全新升级版，具备高效木马查杀、系统安全管理、实时网络防护等功能。

高效木马查杀
　采用高速智能检测引擎（ＳＶＥ），能够完全查杀国内外流行的6万余种木马、后门、蠕虫、间谍软件、广告软件、黑客工具、色情拨号程序等，尤其对各类未知有害程序具有极高的检出率。

系统安全管理
　　提供了丰富的安全管理工具，能够修复IE和注册表设置，管理系统中各项任务、进程、服务、共享资源和自启动项，监控网络的连接状态和开启的端口。

实时网络防护
　　全新的安天盾防火墙功能更加强大，能够实时监控您的系统和网络，随时发现活动的木马等可疑程序，并能查封指定IP地址和端口，有效拦截各类诸如"冲击波""震荡波"的扫描攻击行为。

地主发表时间: 05-11-22 15:07

论坛: 病毒专区