特洛伊病毒Win32.PecoanFamily

其它名称：CME-711, W32/Downloader.AYDY (F-Secure), Troj/DwnLdr-FYD (Sophos), Trojan.Peacomm (Symantec), Win32/Pecoan, Win32/Pecoan.B, Win32/Pecoan.E, Win32/Pecoan.F, Win32/Pecoan.G, Downloader-BAI.sys!M711 (McAfee)

病毒属性：特洛伊木马 危害性：中等危害 流行程度：中

具体介绍：

病毒特性：

Win32/Pecoan是一种特洛伊病毒，能够和很多点对点网络客户端建立通信，Pecoan能够下载并运行任意文件。

感染方式：

Win32/Pecoan通过不同的方式传播到被感染的机器。它能够被Win32/Luder.L 或 Win32/Luder.K生成，并能够通过垃圾邮件到达。垃圾邮件的主题和附件名称都是可变的。

垃圾邮件的主题可能是：

230 dead as storm batters Europe.

British Muslims Genocide

Chinese missile shot down USA satellite

If I Knew

Naked teens attack home director.

Radical Muslim drinking enemies'' blood.

Russian missle shot down Chinese satellite

Russian missle shot down USA aircraft

Sadam Hussein alive!

Sadam Hussein safe and sound!

The commander of a U.S. nuclear submarine lunch the rocket by mistake.

U.S. Secretary of State Condoleezza Rice has kicked German Chancellor Angela Merkel

U.S. Southwest braces for another winter blast. More then 1000 people are dead.

WG: A killer at 11, he''s free at 21 and kill again!

附件名称可能是：

Click Here.exe

flash postcard.exe

Full News.exe

Full Story.exe

Full Text.exe

Full Video.exe

FullClip.exe

Greeting Card.exe

greeting postcard.exe

More Here.exe

Read More.exe

video.exe

运行时，Win32/Pecoan在%System%目录中生成"wincom32.sys" 驱动程序，并安装它。这个驱动程序注入代码到"services.exe"程序中，使特洛伊的并发行为显示为来源于这个程序。一些变体，例如Win32/Pecoan.G，驱动程序中包括额外的功能，允许它从用户的磁盘和注册表中隐藏它的文件。

注：'%System%'是一个可变的路径。病毒通过查询操作系统来决定System文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:WinntSystem32; 95,98 和 ME 的是C:WindowsSystem; XP 的是C:WindowsSystem32。

危害：

下载并运行任意文件

特洛伊尝试与其它系统的点对点网络客户端建立通信。它通过本地UDP 4000端口 (Win32/Pecoan.G 使用本地的UDP 7871端口)连接某个IP地址，为了能够下载并运行任意文件。

这些IP地址和特洛伊的黑名单IP地址保存在%System%目录中的一个文件。很多变体使用"peers.ini"文件名，而有一些变体使用"wincom32.ini"文件名。

清除：

KILL安全胄甲最新版本可检测/清除此病毒。