特洛伊病毒Win32.Covesmer.AB

特洛伊病毒Win32/Covesmer.AB是一種配置後門的特洛伊病毒,能夠在控制者的指示下傳送垃圾郵件。特洛伊還會安裝一個Kaspersky防病毒軟體的副本,並使用它刪除被感染機器上其它的惡意程式。它是大小為200,704位元組的Win32可運行程式。

其它名稱:Spam-DComServ (McAfee)
病毒屬性:特洛伊木馬危害性:中等危害流行程度:

具體介紹:

病毒特性:
Win32/Covesmer.AB是一種配置後門的特洛伊病毒,能夠在控制者的指示下傳送垃圾郵件。特洛伊還會安裝一個kaspersky防病毒軟體的副本,並使用它刪除被感染機器上其它的惡意程式。它是大小為200,704位元組的Win32可運行程式。
感染方式:
運行時,Covesmer.AB生成%System%\<dll name >.dll檔案,這裡的<dll name >是任意的小寫字母,例如"tpna.dll" 或 "ktrwuoe.dll"。
Covesmer.AB添加以下註冊表,以確保每次系統啟動時運行病毒:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\ = "DCOM Server 2234"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\DCOM Server 2234 = ""
HKLM\SOFTWARE\Classes\CLSID\\InProcServer32\(Default) = "%System%\<dll name>.dll"
HKLM\SOFTWARE\Classes\CLSID\\InProcServer32\ThreadingModel = "Apartment"
Covesmer.AB還會生成"hs5pdllv42234"互斥體,以避免多個副本同時運行。
註:'%System%'是一個可變的路徑。病毒通過查詢作業系統來決定System資料夾的位置。Windows 2000 and NT默認的系統安裝路徑是C:\Winnt\System32; 95,98 和 ME 的是C:\Windows\System; XP 的是C:\Windows\System32。
危害:
後門功能
Covesmer.AB是一個可配置的bot。它執行自己的協定,允許它接受命令和交換信息。
Covesmer監聽任意連線埠,在2234連線埠連線65.19.154.71 IP位址,傳送以下信息:
被感染機器的Windows 版本;
特洛伊監聽的連線埠;
當前控制者的IP 地址和連線埠;
關於特洛伊的當前狀態和活性的信息。
通過這個後門,特洛伊能夠被指示執行以下操作:
連線特定的遠程主機重新得到數據,用來生成並傳送垃圾郵件;
下載並安裝更新;
連線其它的控制者;
報告關於被感染機器和活性的不同信息。
下載並安裝防病毒軟體
Covesmer.AB連線一個特定的IP位址和連線埠為了下載其它的程式。它將這個檔案保存到%Temp%\maindll.dll,監測出是Win32/Covesmer病毒。
隨後特洛伊通過HTTP連線相同的IP位址獲取一個URL。這個URL被"maindll.dll"用來下載一個包含Kaspersky 防病毒軟體副本的一個檔案。Covesmer.AB解壓這個檔案,保存到%Windows%\$NtUninstallKB<7 digits >】$,並在10分鐘後使用這個防病毒軟體掃描被感染機器。掃描結果報告給特洛伊的控制者。
特洛伊還生成"hs5p_av_mutex"互斥體防止運行多個掃描器。
註:'%Temp%'是一個可變的路徑。病毒通過查詢作業系統來決定Temp資料夾的位置。一般在以下路徑"C:\Documents and Settings\<username>\Local Settings\Temp",或 "C:\WINDOWS\TEMP"。
'%Windows %'是一個可變的路徑。病毒通過查詢作業系統來決定Windows資料夾的位置。Windows 2000 and NT默認的系統安裝路徑是C:\Winnt; 95,98 和 ME 的是C:\Windows; XP 的是C:\Windows。
修改Hosts檔案
Covesmer.AB修改Hosts檔案,將以下域改變為localhost (127.0.0.1),有效的阻止用戶訪問這些域:
avp.com
ca.com
customer.symantec.com
dispatch.mcafee.com
download.mcafee.com
downloads1.kaspersky-labs.com
downloads2.kaspersky-labs.com
downloads3.kaspersky-labs.com
downloads4.kaspersky-labs.com
liveupdate.symantec.com
liveupdate.symantecliveupdate.com
mast.mcafee.com
networkassociates.com
rads.mcafee.com
secure.nai.com
securityresponse.symantec.com
securityresponse.symantec.com
sophos.com
sophos.com
updates.symantec.com
us.mcafee.com
viruslist.com
www.avp.com
www.ca.com
www.f-secure.com
www.kaspersky.com
www.mcafee.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.sophos.com
www.sophos.com
www.symantec.com
www.symantec.com
www.trendmicro.com
www.viruslist.com
其它信息
Covesmer.AB刪除以下鍵值:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\DCOM Server
它還可能生成"2234.dat"檔案,包含配置資料(包括當前控制者的IP位址和連線埠等等)。每當Covesmer.AB運行時,它就會查找"2234.dat"檔案,如果找到這個檔案,它就會載入檔案內容而不使用默認設定。
清除:
KILL安全胄甲Vet 30.3.3176 版本可檢測/清除此病毒。

相關條目

特洛伊病毒Win32.SillyDl.IQ
Win32.Kipis.A蠕蟲病毒
蠕蟲病毒Win32.Luder.U
特洛伊病毒Win32.Chepvil.C
蠕蟲病毒Win32.Luder.O
蠕蟲病毒Win32.Robzips.M
蠕蟲病毒Win32.Duiskbot.AF

相關詞條

相關搜尋

熱門詞條

聯絡我們