特洛伊病毒Win32.Covesmer.AB

编辑:大楼网互动百科 时间:2020-01-25 13:05:21
编辑 锁定
本词条缺少名片图,补充相关内容使词条更完整,还能快速升级,赶紧来编辑吧!
Win32/Covesmer.AB是一种配置后门的特洛伊病毒,能够在控制者的指示下发送垃圾邮件。特洛伊还会安装一个Kaspersky防病毒软件的副本,并使用它删除被感染机器上其它的恶意程序。它是大小为200,704字节的Win32可运行程序。
中文名
特洛伊病毒
外文名
Win32.Covesmer.AB
清除方式
KILL安全胄甲Vet 30.3.3176 版本
大    小
200704字节

特洛伊病毒Win32.Covesmer.AB感染方式

编辑
运行时,Covesmer.AB生成%System%\<dll name >.dll文件,这里的<dll name >是任意的小写字母,例如"tpna.dll" 或 "ktrwuoe.dll"。
Covesmer.AB添加以下注册表,以确保每次系统启动时运行病毒:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\ = "DCOM Server 2234"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\DCOM Server 2234 = ""
HKLM\SOFTWARE\Classes\CLSID\\InProcServer32\(Default) = "%System%\<dll name>.dll"
HKLM\SOFTWARE\Classes\CLSID\\InProcServer32\ThreadingModel = "Apartment"
Covesmer.AB还会生成"hs5pdllv42234"互斥体,以避免多个副本同时运行。
注:'%System%'是一个可变的路径。病毒通过查询操作系统来决定System文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\Winnt\System32; 95,98 和 ME 的是C:\Windows\System; XP 的是C:\Windows\System32。

特洛伊病毒Win32.Covesmer.AB危害

编辑

特洛伊病毒Win32.Covesmer.AB后门功能

Covesmer.AB,又名Spam-DComServ (McAfee),是一个可配置的bot。它执行自己的协议,允许它接受命令和交换信息。
Covesmer监听任意端口,在2234端口连接65.19.154.71 IP地址,发送以下信息:
被感染机器的Windows 版本;
特洛伊监听的端口;
当前控制者的IP 地址和端口;
关于特洛伊的当前状态和活性的信息。
通过这个后门,特洛伊能够被指示执行以下操作:
连接特定的远程主机重新得到数据,用来生成并发送垃圾邮件;
下载并安装更新;
连接其它的控制者;
报告关于被感染机器和活性的不同信息。

特洛伊病毒Win32.Covesmer.AB下载并安装防病毒软件

Covesmer.AB连接一个特定的IP地址和端口为了下载其它的程序。它将这个文件保存到%Temp%\maindll.dll,监测出是Win32/Covesmer病毒。
随后特洛伊通过HTTP连接相同的IP地址获取一个URL。这个URL被"maindll.dll"用来下载一个包含Kaspersky 防病毒软件副本的一个文件。Covesmer.AB解压这个文件,保存到%Windows%\$NtUninstallKB<7 digits >]$,并在10分钟后使用这个防病毒软件扫描被感染机器。扫描结果报告给特洛伊的控制者。
特洛伊还生成"hs5p_av_mutex"互斥体防止运行多个扫描器。
注:'%Temp%'是一个可变的路径。病毒通过查询操作系统来决定Temp文件夹的位置。一般在以下路径"C:\Documents and Settings\<username>\Local Settings\Temp",或 "C:\WINDOWS\TEMP"。
'%Windows %'是一个可变的路径。病毒通过查询操作系统来决定Windows文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\Winnt; 95,98 和 ME 的是C:\Windows; XP 的是C:\Windows。

特洛伊病毒Win32.Covesmer.AB修改Hosts文件

Covesmer.AB修改Hosts文件,将以下域改变为localhost (127.0.0.1),有效的阻止用户访问这些域:
其它信息
Covesmer.AB删除以下键值:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\DCOM Server
它还可能生成"2234.dat"文件,包含配置资料(包括当前控制者的IP地址和端口等等)。每当Covesmer.AB运行时,它就会查找"2234.dat"文件,如果找到这个文件,它就会加载文件内容而不使用默认设置。
词条标签:
计算机学 病毒