WIN32.PecoanFamily
其它名稱:CME-711, W32/Downloader.AYDY (F-Secure), Troj/DwnLdr-FYD (Sophos), Trojan.Peacomm (Symantec), Win32/Pecoan, Win32/Pecoan.B, Win32/Pecoan.E, Win32/Pecoan.F, Win32/Pecoan.G, Downloader-BAI.sys!M711 (McAfee)
病毒屬性:特洛伊木馬危害性:中等危害流行程度:中
具體介紹:
病毒特性:
Win32/Pecoan是一種特洛伊病毒,能夠和很多點對點網路客戶端建立通信,Pecoan能夠下載並運行任意檔案。
感染方式:
Win32/Pecoan通過不同的方式傳播到被感染的機器。它能夠被Win32/Luder.L 或 Win32/Luder.K生成,並能夠通過垃圾郵件到達。垃圾郵件的主題和附屬檔案名稱都是可變的。
垃圾郵件的主題可能是:
230 dead as storm batters Europe.
British Muslims Genocide
Chinese missile shot down USA satellite
If I Knew
Naked teens attack home director.
Radical Muslim drinking enemies'' blood.
Russian missle shot down Chinese satellite
Russian missle shot down USA aircraft
Sadam Hussein alive!
Sadam Hussein safe and sound!
The commander of a U.S. nuclear submarine lunch the rocket by mistake.
U.S. Secretary of State Condoleezza Rice has kicked German Chancellor Angela Merkel
U.S. Southwest braces for another winter blast. More then 1000 people are dead.
WG: A killer at 11, he''s free at 21 and kill again!
附屬檔案名稱可能是:
Click Here.exe
flash postcard.exe
Full News.exe
Full Story.exe
Full Text.exe
Full Video.exe
FullClip.exe
Greeting Card.exe
greeting postcard.exe
More Here.exe
Read More.exe
video.exe
運行時,Win32/Pecoan在%System%目錄中生成"wincom32.sys" 驅動程式,並安裝它。這個驅動程式注入代碼到"services.exe"程式中,使特洛伊的並發行為顯示為來源於這個程式。一些變體,例如Win32/Pecoan.G,驅動程式中包括額外的功能,允許它從用戶的磁碟和註冊表中隱藏它的檔案。
註:'%System%'是一個可變的路徑。病毒通過查詢作業系統來決定System資料夾的位置。Windows 2000 and NT默認的系統安裝路徑是C:\Winnt\System32; 95,98 和 ME 的是C:\Windows\System; XP 的是C:\Windows\System32。
危害:
下載並運行任意檔案
特洛伊嘗試與其它系統的點對點網路客戶端建立通信。它通過本地UDP 4000連線埠 (Win32/Pecoan.G 使用本地的UDP 7871連線埠)連線某個IP位址,為了能夠下載並運行任意檔案。
這些IP位址和特洛伊的黑名單IP位址保存在%System%目錄中的一個檔案。很多變體使用"peers.ini"檔案名稱,而有一些變體使用"wincom32.ini"檔案名稱。
清除:
KILL安全胄甲最新版本可檢測/清除此病毒。
相關條目
特洛伊病毒Win32.SillyDl.IQ
Win32.Kipis.A蠕蟲病毒
蠕蟲病毒Win32.Luder.U
特洛伊病毒Win32.Chepvil.C
蠕蟲病毒Win32.Luder.O
蠕蟲病毒Win32.Robzips.M
蠕蟲病毒Win32.Duiskbot.AF
