词条 | 特洛伊病毒Win32.Cotmonger.B |
释义 | § 其它名称 Cotmonger A (Pest Patrol), Win32.Cotmonger.B, BackDoor-DIZ (McAfee), BKDR_HACDEF.DS (Trend), Win32/HacDef.FWE!Trojan, Backdoor.Win32.HacDef.fw (Kaspersky) 病毒属性:特洛伊木马 危害性:中等危害 流行程度: § 具体介绍 感染方式: 运行时,Cotmonger.B生成2个文件到%System%目录,文件命名为"mlsdf8h<random chars>.exe" 和 "sklrr7y<random chars>.exe"。 注:'%System%'是一个可变的路径。病毒通过查询操作系统来决定System文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\\Winnt\\System32; 95,98 和 ME 的是C:\\Windows\\System; XP 的是C:\\Windows\\System32。 以"sklrr7y"开头的文件检测出是Win32/HacDef!generic病毒。Win32/HacDef 是一个"rootkit",有时也称为"hacker defender" 或 "hxdef"。它可以作为一个后门允许远程控制被感染机器,还能够隐藏它和其它恶意文件、进程的存在。 另一个文件监测出是Win32/Cotmonger.B病毒;随后运行这两个文件。 生成的Cotmonger.B文件(mlsdf8h<random chars>.exe")生成一个新的病毒实例,名为"SpoolSvc203"的服务。新的进程不会在Windows 任务管理器中显示。 特洛伊检查"1751779938"互斥体,如果没有找到,就会生成这个互斥体。 Cotmonger.B还会在%Temp%目录生成一个文件,包含加密数据。 注:'%Temp %'是一个可变的路径。病毒通过查询操作系统来决定Temp文件夹的位置。一般在以下路径"C:\\Documents and Settings\\<username>\\Local Settings\\Temp", 或 "C:\\WINDOWS\\TEMP"。 危害: 后门功能 特洛伊执行以下操作: 1. Pings 0.0.0.0 (可能是检查被感染机器的Internet 链接); 2. 检查SMTP server 在66.102.9.25 上的状况。 为了找到被感染机器的IP地址,它连接到www.ipchicken.com,返回一个包含外部IP地址的页面。特洛伊还会检查其它类似站点: www.ip2location.biz www.myipaddress.com www.whatismyip.com www.edpsciences.org/htbin/ipaddress www.grokster.com 完成以上步骤后,特洛伊在远程TCP 446端口连接ccxyzjhcjvq.dynserv.com,并发送关于被感染机器的加密数据。收到特定的回应后,它可能执行以下任务: 下载并运行任意文件%Temp%\\mlsdf8h<random chars>.exe (这个文件可能是特洛伊的更新版本); 搜索以下扩展名的文件,并扫描文件查找邮件地址: .c 123 chm cpp csv dbf dif doc eps h htm html hwp info jtd mab nfo ott php ps rtf sdc sdw slk sxw sys tmp txt wab wk1 wks wpd wps xls xml 特洛伊显示包含用来收集邮件信息的代码,并用来发送邮件。 § 清除 KILL安全胄甲InoculateIT 23.72.89,Vet 30.3.3023 版本可检测/清除此病毒。 |
随便看 |
百科全书收录594082条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。