请输入您要查询的百科知识:

 

词条 特洛伊病毒Win32.Cotmonger.B
释义

§ 其它名称

Cotmonger A (Pest Patrol), Win32.Cotmonger.B, BackDoor-DIZ (McAfee), BKDR_HACDEF.DS (Trend), Win32/HacDef.FWE!Trojan, Backdoor.Win32.HacDef.fw (Kaspersky)

病毒属性:特洛伊木马 危害性:中等危害 流行程度:

§ 具体介绍

感染方式:

运行时,Cotmonger.B生成2个文件到%System%目录,文件命名为"mlsdf8h<random chars>.exe" 和 "sklrr7y<random chars>.exe"。

注:'%System%'是一个可变的路径。病毒通过查询操作系统来决定System文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\\Winnt\\System32; 95,98 和 ME 的是C:\\Windows\\System; XP 的是C:\\Windows\\System32。

以"sklrr7y"开头的文件检测出是Win32/HacDef!generic病毒。Win32/HacDef 是一个"rootkit",有时也称为"hacker defender" 或 "hxdef"。它可以作为一个后门允许远程控制被感染机器,还能够隐藏它和其它恶意文件、进程的存在。

另一个文件监测出是Win32/Cotmonger.B病毒;随后运行这两个文件。

生成的Cotmonger.B文件(mlsdf8h<random chars>.exe")生成一个新的病毒实例,名为"SpoolSvc203"的服务。新的进程不会在Windows 任务管理器中显示。

特洛伊检查"1751779938"互斥体,如果没有找到,就会生成这个互斥体。

Cotmonger.B还会在%Temp%目录生成一个文件,包含加密数据。

注:'%Temp %'是一个可变的路径。病毒通过查询操作系统来决定Temp文件夹的位置。一般在以下路径"C:\\Documents and Settings\\<username>\\Local Settings\\Temp", 或 "C:\\WINDOWS\\TEMP"。

危害:

后门功能

特洛伊执行以下操作:

1. Pings 0.0.0.0 (可能是检查被感染机器的Internet 链接);

2. 检查SMTP server 在66.102.9.25 上的状况。

为了找到被感染机器的IP地址,它连接到www.ipchicken.com,返回一个包含外部IP地址的页面。特洛伊还会检查其它类似站点:

www.ip2location.biz

www.myipaddress.com

www.whatismyip.com

www.edpsciences.org/htbin/ipaddress

www.grokster.com

完成以上步骤后,特洛伊在远程TCP 446端口连接ccxyzjhcjvq.dynserv.com,并发送关于被感染机器的加密数据。收到特定的回应后,它可能执行以下任务:

下载并运行任意文件%Temp%\\mlsdf8h<random chars>.exe (这个文件可能是特洛伊的更新版本);

搜索以下扩展名的文件,并扫描文件查找邮件地址:

.c

123

chm

cpp

csv

dbf

dif

doc

eps

h

htm

html

hwp

info

jtd

mab

nfo

ott

pdf

php

ps

rtf

sdc

sdw

slk

sxw

sys

tmp

txt

wab

wk1

wks

wpd

wps

xls

xml

特洛伊显示包含用来收集邮件信息的代码,并用来发送邮件。

§ 清除

KILL安全胄甲InoculateIT 23.72.89,Vet 30.3.3023 版本可检测/清除此病毒。

随便看

 

百科全书收录594082条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2025/3/22 3:09:13