“特洛伊病毒Win32.Covesmer.AB”的意思、由来-中文百科全书

感染方式

运行时，Covesmer.AB生成%System%\\<dll name >.dll文件，这里的<dll name >是任意的小写字母，例如"tpna.dll" 或 "ktrwuoe.dll"。

Covesmer.AB添加以下注册表，以确保每次系统启动时运行病毒：

HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\SharedTaskScheduler\\ = "DCOM Server 2234"

HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\ShellServiceObjectDelayLoad\\DCOM Server 2234 = ""

HKLM\\SOFTWARE\\Classes\\CLSID\\\\InProcServer32\\(Default) = "%System%\\<dll name>.dll"

HKLM\\SOFTWARE\\Classes\\CLSID\\\\InProcServer32\\ThreadingModel = "Apartment"

Covesmer.AB还会生成"hs5pdllv42234"互斥体，以避免多个副本同时运行。

注：'%System%'是一个可变的路径。病毒通过查询操作系统来决定System文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\\Winnt\\System32; 95,98 和 ME 的是C:\\Windows\\System; XP 的是C:\\Windows\\System32。

危害

后门功能

Covesmer.AB，又名Spam-DComServ (McAfee)，是一个可配置的bot。它执行自己的协议，允许它接受命令和交换信息。

Covesmer监听任意端口，在2234端口连接65.19.154.71 IP地址，发送以下信息：

被感染机器的Windows 版本；

特洛伊监听的端口；

当前控制者的IP 地址和端口；

关于特洛伊的当前状态和活性的信息。

通过这个后门，特洛伊能够被指示执行以下操作：

连接特定的远程主机重新得到数据，用来生成并发送垃圾邮件；

下载并安装更新；

连接其它的控制者；

报告关于被感染机器和活性的不同信息。

下载并安装防病毒软件

Covesmer.AB连接一个特定的IP地址和端口为了下载其它的程序。它将这个文件保存到%Temp%\\maindll.dll，监测出是Win32/Covesmer病毒。

随后特洛伊通过HTTP连接相同的IP地址获取一个URL。这个URL被"maindll.dll"用来下载一个包含Kaspersky 防病毒软件副本的一个文件。Covesmer.AB解压这个文件，保存到%Windows%\\$NtUninstallKB<7 digits >]$，并在10分钟后使用这个防病毒软件扫描被感染机器。扫描结果报告给特洛伊的控制者。

特洛伊还生成"hs5p_av_mutex"互斥体防止运行多个扫描器。

注：'%Temp%'是一个可变的路径。病毒通过查询操作系统来决定Temp文件夹的位置。一般在以下路径"C:\\Documents and Settings\\<username>\\Local Settings\\Temp"，或 "C:\\WINDOWS\\TEMP"。

'%Windows %'是一个可变的路径。病毒通过查询操作系统来决定Windows文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\\Winnt; 95,98 和 ME 的是C:\\Windows; XP 的是C:\\Windows。

修改Hosts文件

Covesmer.AB修改Hosts文件，将以下域改变为localhost (127.0.0.1)，有效的阻止用户访问这些域：

其它信息

Covesmer.AB删除以下键值：

HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\DCOM Server

它还可能生成"2234.dat"文件，包含配置资料（包括当前控制者的IP地址和端口等等）。每当Covesmer.AB运行时，它就会查找"2234.dat"文件，如果找到这个文件，它就会加载文件内容而不使用默认设置。

清除

KILL安全胄甲Vet 30.3.3176 版本可检测/清除此病毒。

词条	特洛伊病毒Win32.Covesmer.AB
释义	Win32/Covesmer.AB是一种配置后门的特洛伊病毒，能够在控制者的指示下发送垃圾邮件。特洛伊还会安装一个Kaspersky防病毒软件的副本，并使用它删除被感染机器上其它的恶意程序。它是大小为200,704字节的Win32可运行程序。感染方式危害(后门功能下载并安装防病毒软件修改Hosts文件) 清除感染方式运行时，Covesmer.AB生成%System%\\<dll name >.dll文件，这里的<dll name >是任意的小写字母，例如"tpna.dll" 或 "ktrwuoe.dll"。 Covesmer.AB添加以下注册表，以确保每次系统启动时运行病毒： HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\SharedTaskScheduler\\ = "DCOM Server 2234" HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\ShellServiceObjectDelayLoad\\DCOM Server 2234 = "" HKLM\\SOFTWARE\\Classes\\CLSID\\\\InProcServer32\\(Default) = "%System%\\<dll name>.dll" HKLM\\SOFTWARE\\Classes\\CLSID\\\\InProcServer32\\ThreadingModel = "Apartment" Covesmer.AB还会生成"hs5pdllv42234"互斥体，以避免多个副本同时运行。注：'%System%'是一个可变的路径。病毒通过查询操作系统来决定System文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\\Winnt\\System32; 95,98 和 ME 的是C:\\Windows\\System; XP 的是C:\\Windows\\System32。危害后门功能 Covesmer.AB，又名Spam-DComServ (McAfee)，是一个可配置的bot。它执行自己的协议，允许它接受命令和交换信息。 Covesmer监听任意端口，在2234端口连接65.19.154.71 IP地址，发送以下信息：被感染机器的Windows 版本；特洛伊监听的端口；当前控制者的IP 地址和端口；关于特洛伊的当前状态和活性的信息。通过这个后门，特洛伊能够被指示执行以下操作：连接特定的远程主机重新得到数据，用来生成并发送垃圾邮件；下载并安装更新；连接其它的控制者；报告关于被感染机器和活性的不同信息。下载并安装防病毒软件 Covesmer.AB连接一个特定的IP地址和端口为了下载其它的程序。它将这个文件保存到%Temp%\\maindll.dll，监测出是Win32/Covesmer病毒。随后特洛伊通过HTTP连接相同的IP地址获取一个URL。这个URL被"maindll.dll"用来下载一个包含Kaspersky 防病毒软件副本的一个文件。Covesmer.AB解压这个文件，保存到%Windows%\\$NtUninstallKB<7 digits >]$，并在10分钟后使用这个防病毒软件扫描被感染机器。扫描结果报告给特洛伊的控制者。特洛伊还生成"hs5p_av_mutex"互斥体防止运行多个扫描器。注：'%Temp%'是一个可变的路径。病毒通过查询操作系统来决定Temp文件夹的位置。一般在以下路径"C:\\Documents and Settings\\<username>\\Local Settings\\Temp"，或 "C:\\WINDOWS\\TEMP"。 '%Windows %'是一个可变的路径。病毒通过查询操作系统来决定Windows文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\\Winnt; 95,98 和 ME 的是C:\\Windows; XP 的是C:\\Windows。修改Hosts文件 Covesmer.AB修改Hosts文件，将以下域改变为localhost (127.0.0.1)，有效的阻止用户访问这些域：其它信息 Covesmer.AB删除以下键值： HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\DCOM Server 它还可能生成"2234.dat"文件，包含配置资料（包括当前控制者的IP地址和端口等等）。每当Covesmer.AB运行时，它就会查找"2234.dat"文件，如果找到这个文件，它就会加载文件内容而不使用默认设置。清除 KILL安全胄甲Vet 30.3.3176 版本可检测/清除此病毒。
随便看	HOIHOI HOKE球阀 HOKONG超磁六导 HOKONG超磁六导脑病治疗仪 Hokuto Hokuto Konishi Hok Hola Hold518货源网 holder指数 Hold住：坚持的智慧 hold住潮 Hold住你的心 Hold住自己的命运 HOLE IN ONE Holger Pooten Holiday for Lovers Holiday Inn Kings Cross_1 HOLIDAY INN LA VILLETTE Holiday Inn Silom_1 HolidayLightsV5.4汉化版 holiday-maker HolidayPi BT Holiday家族 Holidy Inn La Villette Holland Roden