“特洛伊病毒Win32.Cotmonger.B”的意思、由来-中文百科全书

其它名称

Cotmonger A (Pest Patrol), Win32.Cotmonger.B, BackDoor-DIZ (McAfee), BKDR_HACDEF.DS (Trend), Win32/HacDef.FWE!Trojan, Backdoor.Win32.HacDef.fw (Kaspersky)

病毒属性

特洛伊木马

危害性

中等危害

具体介绍

感染方式

运行时，Cotmonger.B生成2个文件到%System%目录，文件命名为"mlsdf8h<random chars>.exe" 和 "sklrr7y<random chars>.exe"。

注：'%System%'是一个可变的路径。病毒通过查询操作系统来决定System文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\\Winnt\\System32; 95,98 和 ME 的是C:\\Windows\\System; XP 的是C:\\Windows\\System32。

以"sklrr7y"开头的文件检测出是Win32/HacDef!generic病毒。Win32/HacDef 是一个"rootkit"，有时也称为"hacker defender" 或 "hxdef"。它可以作为一个后门允许远程控制被感染机器，还能够隐藏它和其它恶意文件、进程的存在。

另一个文件监测出是Win32/Cotmonger.B病毒；随后运行这两个文件。

生成的Cotmonger.B文件(mlsdf8h<random chars>.exe")生成一个新的病毒实例，名为"SpoolSvc203"的服务。新的进程不会在Windows 任务管理器中显示。

特洛伊检查"1751779938"互斥体，如果没有找到，就会生成这个互斥体。

Cotmonger.B还会在%Temp%目录生成一个文件，包含加密数据。

注：'%Temp %'是一个可变的路径。病毒通过查询操作系统来决定Temp文件夹的位置。一般在以下路径"C:\\Documents and Settings\\<username>\\Local Settings\\Temp", 或 "C:\\WINDOWS\\TEMP"。

危害

后门功能

特洛伊执行以下操作：

1. Pings 0.0.0.0 (可能是检查被感染机器的Internet 链接)；

2. 检查SMTP server 在66.102.9.25 上的状况。

为了找到被感染机器的IP地址，它连接到www.ipchicken.com，返回一个包含外部IP地址的页面。特洛伊还会检查其它类似站点：

www.ip2location.biz

www.myipaddress.com

www.whatismyip.com

www.edpsciences.org/htbin/ipaddress

www.grokster.com

完成以上步骤后，特洛伊在远程TCP 446端口连接ccxyzjhcjvq.dynserv.com，并发送关于被感染机器的加密数据。收到特定的回应后，它可能执行以下任务：

下载并运行任意文件%Temp%\\mlsdf8h<random chars>.exe （这个文件可能是特洛伊的更新版本）；

搜索以下扩展名的文件，并扫描文件查找邮件地址：

123

chm

cpp

csv

dbf

dif

doc

eps

htm

html

hwp

info

jtd

mab

nfo

ott

pdf

php

rtf

sdc

sdw

slk

sxw

sys

tmp

txt

wab

wk1

wks

wpd

wps

xls

xml

特洛伊显示包含用来收集邮件信息的代码，并用来发送邮件。

清除

KILL安全胄甲InoculateIT 23.72.89，Vet 30.3.3023 版本可检测/清除此病毒。

词条	特洛伊病毒Win32.Cotmonger.B
释义	其它名称病毒属性危害性具体介绍危害清除其它名称 Cotmonger A (Pest Patrol), Win32.Cotmonger.B, BackDoor-DIZ (McAfee), BKDR_HACDEF.DS (Trend), Win32/HacDef.FWE!Trojan, Backdoor.Win32.HacDef.fw (Kaspersky) 病毒属性特洛伊木马危害性中等危害具体介绍感染方式运行时，Cotmonger.B生成2个文件到%System%目录，文件命名为"mlsdf8h<random chars>.exe" 和 "sklrr7y<random chars>.exe"。注：'%System%'是一个可变的路径。病毒通过查询操作系统来决定System文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\\Winnt\\System32; 95,98 和 ME 的是C:\\Windows\\System; XP 的是C:\\Windows\\System32。以"sklrr7y"开头的文件检测出是Win32/HacDef!generic病毒。Win32/HacDef 是一个"rootkit"，有时也称为"hacker defender" 或 "hxdef"。它可以作为一个后门允许远程控制被感染机器，还能够隐藏它和其它恶意文件、进程的存在。另一个文件监测出是Win32/Cotmonger.B病毒；随后运行这两个文件。生成的Cotmonger.B文件(mlsdf8h<random chars>.exe")生成一个新的病毒实例，名为"SpoolSvc203"的服务。新的进程不会在Windows 任务管理器中显示。特洛伊检查"1751779938"互斥体，如果没有找到，就会生成这个互斥体。 Cotmonger.B还会在%Temp%目录生成一个文件，包含加密数据。注：'%Temp %'是一个可变的路径。病毒通过查询操作系统来决定Temp文件夹的位置。一般在以下路径"C:\\Documents and Settings\\<username>\\Local Settings\\Temp", 或 "C:\\WINDOWS\\TEMP"。危害后门功能特洛伊执行以下操作： 1. Pings 0.0.0.0 (可能是检查被感染机器的Internet 链接)； 2. 检查SMTP server 在66.102.9.25 上的状况。为了找到被感染机器的IP地址，它连接到www.ipchicken.com，返回一个包含外部IP地址的页面。特洛伊还会检查其它类似站点： www.ip2location.biz www.myipaddress.com www.whatismyip.com www.edpsciences.org/htbin/ipaddress www.grokster.com 完成以上步骤后，特洛伊在远程TCP 446端口连接ccxyzjhcjvq.dynserv.com，并发送关于被感染机器的加密数据。收到特定的回应后，它可能执行以下任务：下载并运行任意文件%Temp%\\mlsdf8h<random chars>.exe （这个文件可能是特洛伊的更新版本）；搜索以下扩展名的文件，并扫描文件查找邮件地址： .c 123 chm cpp csv dbf dif doc eps h htm html hwp info jtd mab nfo ott pdf php ps rtf sdc sdw slk sxw sys tmp txt wab wk1 wks wpd wps xls xml 特洛伊显示包含用来收集邮件信息的代码，并用来发送邮件。清除 KILL安全胄甲InoculateIT 23.72.89，Vet 30.3.3023 版本可检测/清除此病毒。
随便看	班贝格旧宫殿班贝格新宫殿班贝克班贝克大学班本班本德育班本杜人班比甘芭茶班别自然村班兵班博文班伯格县班伯里英语学习中心班伯利班布尔善班布戈班布里奇·科尔比班布里奇岛班布里奇区班布依群班簿班部班彩班曹班曹店惨案遗址