特洛伊病毒Win32.Cotmonger.B

其它名称：Cotmonger A (Pest Patrol), Win32.Cotmonger.B, BackDoor-DIZ (McAfee), BKDR_HACDEF.DS (Trend), Win32/HacDef.FWE!Trojan, Backdoor.Win32.HacDef.fw (Kaspersky)

病毒属性：特洛伊木马 危害性：中等危害 流行程度：

具体介绍：

感染方式：

运行时，Cotmonger.B生成2个文件到%System%目录，文件命名为"mlsdf8h<random chars>.exe" 和 "sklrr7y<random chars>.exe"。

注：'%System%'是一个可变的路径。病毒通过查询操作系统来决定System文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:WinntSystem32; 95,98 和 ME 的是C:WindowsSystem; XP 的是C:WindowsSystem32。

以"sklrr7y"开头的文件检测出是Win32/HacDef!generic病毒。Win32/HacDef 是一个"rootkit"，有时也称为"hacker defender" 或 "hxdef"。它可以作为一个后门允许远程控制被感染机器，还能够隐藏它和其它恶意文件、进程的存在。

另一个文件监测出是Win32/Cotmonger.B病毒；随后运行这两个文件。

生成的Cotmonger.B文件(mlsdf8h<random chars>.exe")生成一个新的病毒实例，名为"SpoolSvc203"的服务。新的进程不会在Windows 任务管理器中显示。

特洛伊检查"1751779938"互斥体，如果没有找到，就会生成这个互斥体。

Cotmonger.B还会在%Temp%目录生成一个文件，包含加密数据。

注：'%Temp %'是一个可变的路径。病毒通过查询操作系统来决定Temp文件夹的位置。一般在以下路径"C:Documents and Settings<username>Local SettingsTemp", 或 "C:WINDOWSTEMP"。

危害：

后门功能

特洛伊执行以下操作：

1. Pings 0.0.0.0 (可能是检查被感染机器的Internet 链接)；

2. 检查SMTP server 在66.102.9.25 上的状况。

为了找到被感染机器的IP地址，它连接到www.ipchicken.com，返回一个包含外部IP地址的页面。特洛伊还会检查其它类似站点：

www.ip2location.biz

www.myipaddress.com

www.whatismyip.com

www.edpsciences.org/htbin/ipaddress

www.grokster.com

完成以上步骤后，特洛伊在远程TCP 446端口连接ccxyzjhcjvq.dynserv.com，并发送关于被感染机器的加密数据。收到特定的回应后，它可能执行以下任务：

下载并运行任意文件%Temp%mlsdf8h<random chars>.exe （这个文件可能是特洛伊的更新版本）；

搜索以下扩展名的文件，并扫描文件查找邮件地址：

.c

123

chm

cpp

csv

dbf

dif

doc

eps

h

htm

html

hwp

info

jtd

mab

nfo

ott

pdf

php

ps

rtf

sdc

sdw

slk

sxw

sys

tmp

txt

wab

wk1

wks

wpd

wps

xls

xml

特洛伊显示包含用来收集邮件信息的代码，并用来发送邮件。

清除：

KILL安全胄甲InoculateIT 23.72.89，Vet 30.3.3023 版本可检测/清除此病毒。