其它名称:Spam-DComServ (McAfee)
病毒属性:特洛伊木马 危害性:中等危害 流行程度:
具体介绍:
病毒特性:
Win32/Covesmer.AB是一种配置后门的特洛伊病毒,能够在控制者的指示下发送垃圾邮件。特洛伊还会安装一个Kaspersky防病毒软件的副本,并使用它删除被感染机器上其它的恶意程序。它是大小为200,704字节的Win32可运行程序。
感染方式:
运行时,Covesmer.AB生成%System%<dll name >.dll文件,这里的<dll name >是任意的小写字母,例如"tpna.dll" 或 "ktrwuoe.dll"。
Covesmer.AB添加以下注册表,以确保每次系统启动时运行病毒:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerSharedTaskScheduler = "DCOM Server 2234"
HKLMSOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoadDCOM Server 2234 = ""
HKLMSOFTWAREClassesCLSID\InProcServer32(Default) = "%System%<dll name>.dll"
HKLMSOFTWAREClassesCLSID\InProcServer32ThreadingModel = "Apartment"
Covesmer.AB还会生成"hs5pdllv42234"互斥体,以避免多个副本同时运行。
注:'%System%'是一个可变的路径。病毒通过查询操作系统来决定System文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:WinntSystem32; 95,98 和 ME 的是C:WindowsSystem; XP 的是C:WindowsSystem32。
危害:
后门功能
Covesmer.AB是一个可配置的bot。它执行自己的协议,允许它接受命令和交换信息。
Covesmer监听任意端口,在2234端口连接65.19.154.71 IP地址,发送以下信息:
被感染机器的Windows 版本;
特洛伊监听的端口;
当前控制者的IP 地址和端口;
关于特洛伊的当前状态和活性的信息。
通过这个后门,特洛伊能够被指示执行以下操作:
连接特定的远程主机重新得到数据,用来生成并发送垃圾邮件;
下载并安装更新;
连接其它的控制者;
报告关于被感染机器和活性的不同信息。
下载并安装防病毒软件
Covesmer.AB连接一个特定的IP地址和端口为了下载其它的程序。它将这个文件保存到%Temp%maindll.dll,监测出是Win32/Covesmer病毒。
随后特洛伊通过HTTP连接相同的IP地址获取一个URL。这个URL被"maindll.dll"用来下载一个包含Kaspersky 防病毒软件副本的一个文件。Covesmer.AB解压这个文件,保存到%Windows%$NtUninstallKB<7 digits >]$,并在10分钟后使用这个防病毒软件扫描被感染机器。扫描结果报告给特洛伊的控制者。
特洛伊还生成"hs5p_av_mutex"互斥体防止运行多个扫描器。
注:'%Temp%'是一个可变的路径。病毒通过查询操作系统来决定Temp文件夹的位置。一般在以下路径"C:Documents and Settings<username>Local SettingsTemp",或 "C:WINDOWSTEMP"。
'%Windows %'是一个可变的路径。病毒通过查询操作系统来决定Windows文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:Winnt; 95,98 和 ME 的是C:Windows; XP 的是C:Windows。
修改Hosts文件
Covesmer.AB修改Hosts文件,将以下域改变为localhost (127.0.0.1),有效的阻止用户访问这些域:
avp.com
ca.com
customer.symantec.com
dispatch.mcafee.com
download.mcafee.com
downloads1.kaspersky-labs.com
downloads2.kaspersky-labs.com
downloads3.kaspersky-labs.com
downloads4.kaspersky-labs.com
liveupdate.symantec.com
liveupdate.symantecliveupdate.com
mast.mcafee.com
networkassociates.com
rads.mcafee.com
secure.nai.com
securityresponse.symantec.com
securityresponse.symantec.com
sophos.com
sophos.com
updates.symantec.com
us.mcafee.com
viruslist.com
www.avp.com
www.ca.com
www.f-secure.com
www.kaspersky.com
www.mcafee.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.sophos.com
www.sophos.com
www.symantec.com
www.symantec.com
www.trendmicro.com
www.viruslist.com
其它信息
Covesmer.AB删除以下键值:
HKCUSoftwareMicrosoftWindowsCurrentVersionRunDCOM Server
它还可能生成"2234.dat"文件,包含配置资料(包括当前控制者的IP地址和端口等等)。每当Covesmer.AB运行时,它就会查找"2234.dat"文件,如果找到这个文件,它就会加载文件内容而不使用默认设置。
清除:
KILL安全胄甲Vet 30.3.3176 版本可检测/清除此病毒。