其它名稱
Cotmonger A (Pest Patrol), Win32.Cotmonger.B, BackDoor-DIZ (McAfee), BKDR_HACDEF.DS (Trend), Win32/HacDef.FWE!Trojan, Backdoor.Win32.HacDef.fw (Kaspersky)
病毒屬性:特洛伊木馬危害性:中等危害流行程度:
具體介紹
感染方式:
運行時,Cotmonger.B生成2個檔案到%System%目錄,檔案命名為"mlsdf8h<random chars>.exe" 和 "sklrr7y<random chars>.exe"。
註:'%System%'是一個可變的路徑。病毒通過查詢作業系統來決定System資料夾的位置。Windows 2000 and NT默認的系統安裝路徑是C:\Winnt\System32; 95,98 和 ME 的是C:\Windows\System; XP 的是C:\Windows\System32。
以"sklrr7y"開頭的檔案檢測出是Win32/HacDef!generic病毒。Win32/HacDef 是一個"rootkit",有時也稱為"hacker defender" 或 "hxdef"。它可以作為一個後門允許遠程控制被感染機器,還能夠隱藏它和其它惡意檔案、進程的存在。
另一個檔案監測出是Win32/Cotmonger.B病毒;隨後運行這兩個檔案。
生成的Cotmonger.B檔案(mlsdf8h<random chars>.exe")生成一個新的病毒實例,名為"SpoolSvc203"的服務。新的進程不會在Windows 任務管理器中顯示。
特洛伊檢查"1751779938"互斥體,如果沒有找到,就會生成這個互斥體。
Cotmonger.B還會在%Temp%目錄生成一個檔案,包含加密數據。
註:'%Temp %'是一個可變的路徑。病毒通過查詢作業系統來決定Temp資料夾的位置。一般在以下路徑"C:\Documents and Settings\<username>\Local Settings\Temp", 或 "C:\WINDOWS\TEMP"。
危害:
後門功能
特洛伊執行以下操作:
1. Pings 0.0.0.0 (可能是檢查被感染機器的Internet 連結);
2. 檢查SMTP server 在66.102.9.25 上的狀況。
為了找到被感染機器的IP位址,它連線到www.ipchicken.com,返回一個包含外部IP位址的頁面。特洛伊還會檢查其它類似站點:
www.ip2location.biz
www.myipaddress.com
www.whatismyip.com
www.edpsciences.org/htbin/ipaddress
www.grokster.com
完成以上步驟後,特洛伊在遠程TCP 446連線埠連線ccxyzjhcjvq.dynserv.com,並傳送關於被感染機器的加密數據。收到特定的回應後,它可能執行以下任務:
下載並運行任意檔案%Temp%\mlsdf8h<random chars>.exe (這個檔案可能是特洛伊的更新版本);
搜尋以下擴展名的檔案,並掃描檔案查找郵件地址:
.c
123
chm
cpp
csv
dbf
dif
doc
eps
h
htm
html
hwp
info
jtd
mab
nfo
ott
pdf
php
ps
rtf
sdc
sdw
slk
sxw
sys
tmp
txt
wab
wk1
wks
wpd
wps
xls
xml
特洛伊顯示包含用來收集郵件信息的代碼,並用來傳送郵件。
清除
KILL安全胄甲InoculateIT 23.72.89,Vet 30.3.3023 版本可檢測/清除此病毒。
