Trojan.Peacomm(CME-711)

病毒名称：Trojan.Peacomm(CME-711)

病毒中文名：(暂无)

病毒类型：木马

危险级别：★★★

影响平台：Windows 95、Windows 98、Windows Me, Windows NT、Windows 2000、Windows XP

专杀工具：

升级诺顿系列软件病毒库到最新即可查杀

病毒描述：

Trojan.Peacomm 是一个木马程序，它会植入驱动软件文件以下载其它安全威胁，通过夹带于含有以下特征的 垃圾邮件来大量散播。

当 Peacomm 特洛伊木马执行时，会执行下列操作：

1、删除下列文件：%System%\wincom32.sys

注意：%System% 是指向 System 文件夹的变量。 默认情况下，此文件夹为 C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000) 或 C:\Windows\System32 (Windows XP)。

2、使用 %System%\wincom32.sys 文件，以下列字符注册新的系统设备驱动程序：

显示名：wincom32
二进制路径：%System%\wincom32.sys

3、创建下列注册表子项以安装新服务：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wincom32

4、使用安装的设备驱动程序，搜索 services.exe 进程，并将模块植入其中。

放置下列配置文件，该文件包含有初始对等端的加密列表：
%System%\peers.ini
%System%\Wincom32.ini

5、打开并监听下列端口，这些端口是和其他对等端的加密通信渠道：
UDP 端口 4000
UDP 端口 7871

6、在下列端口发送 UDP 网包，扫描其他对等端：
UDP 端口 4000
UDP 端口 7871

8、和找到的对等端交换信息，并更新自己的对等端列表。 对等端可以用来获得中央服务器提供和推送的命令。

9、然后可能下载并执行下列文件：
217.107.217.187/[REMOVED]/game0.exe - Trojan.Abwiz.F 的副本
81.177.3.169/[REMOVED]/game1.exe - W32.Mixor.Q@mm 的副本
81.177.3.169/[REMOVED]/game2.exe - W32.Mixor.Q@mm 的副本
81.177.3.169/[REMOVED]/game4.exe - W32.Mixor.Q@mm 的副本

赛门铁克安全响应中心主张所有用户和管理员都坚持以下良好的基本安全习惯。

1、关闭或删除不需要的服务。默认情况下，许多操作系统会安装不危险的辅助服务，如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击提供了方便之门。如果删除它们，就减少了混合型威胁用于攻击的途径，并且在补丁程序更新时也减少了要维护的服务。

2、如果混合型威胁利用了一个或多个网络服务，请在应用补丁程序之前禁用或禁止访问这些服务。

3、实施应用最新的补丁程序，特别是在运行公共服务并可通过防火墙进行访问的计算机上，如 HTTP、FTP、邮件和 DNS 服务。

4、强制执行密码策略。使用复杂的密码，即使在受到威胁的计算机上也难以破解密码文件。这有助于在计算机的安全受到威胁时防止或限制更大的破坏。

5、将您的邮件服务器配置为禁止或删除包含常用于传播病毒的附件（如 .vbs、.bat、.exe、.pif 和 .scr）的电子邮件。

6、迅速隔离受感染的计算机以防止您的组织受到更多的威胁。执行攻击型分析并使用可靠的媒体恢复计算机。

7、教育员工不要打开来路不明的附件。也不要执行从 Internet 下载后未经病毒扫描的软件。如果某些浏览器漏洞未被修补，访问受到安全威胁的网站也会造成感染。

可能的邮件主旨：
­A killer at 11, he's free at 21 and kill again!
­U.S. Secretary of State Condoleezza Rice has kicked German Chancellor Angela Merkel
­British Muslims Genocide
­Naked teens attack home director.
­230 dead as storm batters Europe.
­Re: Your text
­Radical Muslim drinking enemies's blood.
­Chinese missile shot down Russian satellite
­Chinese missile shot down Russian aircraft
­Chinese missile shot down USA aircraft
­Chinese missile shot down USA satellite
­Russian missile shot down USA aircraft
­Russian missile shot down USA satellite
­Russian missile shot down Chinese aircraft
­Russian missile shot down Chinese satellite
­Saddam Hussein safe and sound!
­Saddam Hussein alive!
­Venezuelan leader: "Let's the War beginning".
­Fidel Castro dead.

※病毒邮件参考范例

可能的附加文件：
­FullVideo.exe
­Full Story.exe
­Video.exe
­Read More.exe
­FullClip.exe
­GreetingPostcard.exe
­MoreHere.exe
­FlashPostcard.exe
­GreetingCard.exe
­ClickHere.exe
­ReadMore.exe
­FlashPostcard.exe
­FullNews.exe