“特洛伊病毒Win32.Cotmonger.B”的意思、由来-中文百科全书

其它名称

Cotmonger A (Pest Patrol), Win32.Cotmonger.B, BackDoor-DIZ (McAfee), BKDR_HACDEF.DS (Trend), Win32/HacDef.FWE!Trojan, Backdoor.Win32.HacDef.fw (Kaspersky)

病毒属性

特洛伊木马

危害性

中等危害

具体介绍

感染方式

运行时，Cotmonger.B生成2个文件到%System%目录，文件命名为"mlsdf8h<random chars>.exe" 和 "sklrr7y<random chars>.exe"。

注：'%System%'是一个可变的路径。病毒通过查询操作系统来决定System文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\\Winnt\\System32; 95,98 和 ME 的是C:\\Windows\\System; XP 的是C:\\Windows\\System32。

以"sklrr7y"开头的文件检测出是Win32/HacDef!generic病毒。Win32/HacDef 是一个"rootkit"，有时也称为"hacker defender" 或 "hxdef"。它可以作为一个后门允许远程控制被感染机器，还能够隐藏它和其它恶意文件、进程的存在。

另一个文件监测出是Win32/Cotmonger.B病毒；随后运行这两个文件。

生成的Cotmonger.B文件(mlsdf8h<random chars>.exe")生成一个新的病毒实例，名为"SpoolSvc203"的服务。新的进程不会在Windows 任务管理器中显示。

特洛伊检查"1751779938"互斥体，如果没有找到，就会生成这个互斥体。

Cotmonger.B还会在%Temp%目录生成一个文件，包含加密数据。

注：'%Temp %'是一个可变的路径。病毒通过查询操作系统来决定Temp文件夹的位置。一般在以下路径"C:\\Documents and Settings\\<username>\\Local Settings\\Temp", 或 "C:\\WINDOWS\\TEMP"。

危害

后门功能

特洛伊执行以下操作：

1. Pings 0.0.0.0 (可能是检查被感染机器的Internet 链接)；

2. 检查SMTP server 在66.102.9.25 上的状况。

为了找到被感染机器的IP地址，它连接到www.ipchicken.com，返回一个包含外部IP地址的页面。特洛伊还会检查其它类似站点：

www.ip2location.biz

www.myipaddress.com

www.whatismyip.com

www.edpsciences.org/htbin/ipaddress

www.grokster.com

完成以上步骤后，特洛伊在远程TCP 446端口连接ccxyzjhcjvq.dynserv.com，并发送关于被感染机器的加密数据。收到特定的回应后，它可能执行以下任务：

下载并运行任意文件%Temp%\\mlsdf8h<random chars>.exe （这个文件可能是特洛伊的更新版本）；

搜索以下扩展名的文件，并扫描文件查找邮件地址：

123

chm

cpp

csv

dbf

dif

doc

eps

htm

html

hwp

info

jtd

mab

nfo

ott

pdf

php

rtf

sdc

sdw

slk

sxw

sys

tmp

txt

wab

wk1

wks

wpd

wps

xls

xml

特洛伊显示包含用来收集邮件信息的代码，并用来发送邮件。

清除

KILL安全胄甲InoculateIT 23.72.89，Vet 30.3.3023 版本可检测/清除此病毒。

词条	特洛伊病毒Win32.Cotmonger.B
释义	其它名称病毒属性危害性具体介绍危害清除其它名称 Cotmonger A (Pest Patrol), Win32.Cotmonger.B, BackDoor-DIZ (McAfee), BKDR_HACDEF.DS (Trend), Win32/HacDef.FWE!Trojan, Backdoor.Win32.HacDef.fw (Kaspersky) 病毒属性特洛伊木马危害性中等危害具体介绍感染方式运行时，Cotmonger.B生成2个文件到%System%目录，文件命名为"mlsdf8h<random chars>.exe" 和 "sklrr7y<random chars>.exe"。注：'%System%'是一个可变的路径。病毒通过查询操作系统来决定System文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\\Winnt\\System32; 95,98 和 ME 的是C:\\Windows\\System; XP 的是C:\\Windows\\System32。以"sklrr7y"开头的文件检测出是Win32/HacDef!generic病毒。Win32/HacDef 是一个"rootkit"，有时也称为"hacker defender" 或 "hxdef"。它可以作为一个后门允许远程控制被感染机器，还能够隐藏它和其它恶意文件、进程的存在。另一个文件监测出是Win32/Cotmonger.B病毒；随后运行这两个文件。生成的Cotmonger.B文件(mlsdf8h<random chars>.exe")生成一个新的病毒实例，名为"SpoolSvc203"的服务。新的进程不会在Windows 任务管理器中显示。特洛伊检查"1751779938"互斥体，如果没有找到，就会生成这个互斥体。 Cotmonger.B还会在%Temp%目录生成一个文件，包含加密数据。注：'%Temp %'是一个可变的路径。病毒通过查询操作系统来决定Temp文件夹的位置。一般在以下路径"C:\\Documents and Settings\\<username>\\Local Settings\\Temp", 或 "C:\\WINDOWS\\TEMP"。危害后门功能特洛伊执行以下操作： 1. Pings 0.0.0.0 (可能是检查被感染机器的Internet 链接)； 2. 检查SMTP server 在66.102.9.25 上的状况。为了找到被感染机器的IP地址，它连接到www.ipchicken.com，返回一个包含外部IP地址的页面。特洛伊还会检查其它类似站点： www.ip2location.biz www.myipaddress.com www.whatismyip.com www.edpsciences.org/htbin/ipaddress www.grokster.com 完成以上步骤后，特洛伊在远程TCP 446端口连接ccxyzjhcjvq.dynserv.com，并发送关于被感染机器的加密数据。收到特定的回应后，它可能执行以下任务：下载并运行任意文件%Temp%\\mlsdf8h<random chars>.exe （这个文件可能是特洛伊的更新版本）；搜索以下扩展名的文件，并扫描文件查找邮件地址： .c 123 chm cpp csv dbf dif doc eps h htm html hwp info jtd mab nfo ott pdf php ps rtf sdc sdw slk sxw sys tmp txt wab wk1 wks wpd wps xls xml 特洛伊显示包含用来收集邮件信息的代码，并用来发送邮件。清除 KILL安全胄甲InoculateIT 23.72.89，Vet 30.3.3023 版本可检测/清除此病毒。
随便看	T6状态 T-700 T7003.5轿车 T702 T704环烷酸锌 t70P T73式60mm迫击炮 T73式（仿M19式）60毫米迫击炮 T74式排用机枪 T-7560毫米迫击炮 T-7581毫米迫击炮 T75M式20毫米机关炮 T75式60mm迫击炮 T75式81mm迫击炮 T75式81毫米迫击炮 T77冲锋枪 T77式冲锋枪 T78优07 T78优2155 T7A T7碳素工具钢棒 T7型检衡车 T82式双20毫米机关炮 T82型双联20mm机炮 T8302