§ 其它名称

Cotmonger A (Pest Patrol), Win32.Cotmonger.B, BackDoor-DIZ (McAfee), BKDR_HACDEF.DS (Trend), Win32/HacDef.FWE!Trojan, Backdoor.Win32.HacDef.fw (Kaspersky)

病毒属性：特洛伊木马　危害性：中等危害　流行程度：

§ 具体介绍

感染方式：

运行时，Cotmonger.B生成2个文件到%System%目录，文件命名为"mlsdf8h<random chars>.exe" 和 "sklrr7y<random chars>.exe"。

注：'%System%'是一个可变的路径。病毒通过查询操作系统来决定System文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\\Winnt\\System32; 95,98 和 ME 的是C:\\Windows\\System; XP 的是C:\\Windows\\System32。

以"sklrr7y"开头的文件检测出是Win32/HacDef!generic病毒。Win32/HacDef 是一个"rootkit"，有时也称为"hacker defender" 或 "hxdef"。它可以作为一个后门允许远程控制被感染机器，还能够隐藏它和其它恶意文件、进程的存在。

另一个文件监测出是Win32/Cotmonger.B病毒；随后运行这两个文件。

生成的Cotmonger.B文件(mlsdf8h<random chars>.exe")生成一个新的病毒实例，名为"SpoolSvc203"的服务。新的进程不会在Windows 任务管理器中显示。

特洛伊检查"1751779938"互斥体，如果没有找到，就会生成这个互斥体。

Cotmonger.B还会在%Temp%目录生成一个文件，包含加密数据。

注：'%Temp %'是一个可变的路径。病毒通过查询操作系统来决定Temp文件夹的位置。一般在以下路径"C:\\Documents and Settings\\<username>\\Local Settings\\Temp", 或 "C:\\WINDOWS\\TEMP"。

危害：

后门功能

特洛伊执行以下操作：

1. Pings 0.0.0.0 (可能是检查被感染机器的Internet 链接)；

2. 检查SMTP server 在66.102.9.25 上的状况。

为了找到被感染机器的IP地址，它连接到www.ipchicken.com，返回一个包含外部IP地址的页面。特洛伊还会检查其它类似站点：

www.ip2location.biz

www.myipaddress.com

www.whatismyip.com

www.edpsciences.org/htbin/ipaddress

www.grokster.com

完成以上步骤后，特洛伊在远程TCP 446端口连接ccxyzjhcjvq.dynserv.com，并发送关于被感染机器的加密数据。收到特定的回应后，它可能执行以下任务：

下载并运行任意文件%Temp%\\mlsdf8h<random chars>.exe （这个文件可能是特洛伊的更新版本）；

搜索以下扩展名的文件，并扫描文件查找邮件地址：

.c

123

chm

cpp

csv

dbf

dif

doc

eps

h

htm

html

hwp

info

jtd

mab

nfo

ott

pdf

php

ps

rtf

sdc

sdw

slk

sxw

sys

tmp

txt

wab

wk1

wks

wpd

wps

xls

xml

特洛伊显示包含用来收集邮件信息的代码，并用来发送邮件。

§ 清除

KILL安全胄甲InoculateIT 23.72.89，Vet 30.3.3023 版本可检测/清除此病毒。

• 1956年2月15日
• 1956年2月3日
• 1956年2月4日
• 1956年3月13日
• 1956年3月2日
• 1956年3月30日
• 1956年3月5日
• 1956年3月8日
• 1956年4月16日
• 1956年4月17日
• 1956年4月18日
• 1956年4月19日
• 1956年4月1日
• 1956年4月26日
• 1956年4月29日
• 1956年4月30日
• 1956年4月3日
• 1956年4月6日
• 1956年5月11日
• 1956年5月20日
• 1956年5月24日
• 1956年5月2日
• 1956年6月28日
• 1956年7月12日
• 1956年7月20日