特洛伊病毒Win32.Covesmer.AB

運行時，Covesmer.AB生成%System%\<dll name >.dll檔案，這裡的<dll name >是任意的小寫字母，例如"tpna.dll" 或 "ktrwuoe.dll"。

Covesmer.AB添加以下註冊表，以確保每次系統啟動時運行病毒：

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\ = "DCOM Server 2234"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\DCOM Server 2234 =“HKLM\SOFTWARE\Classes\CLSID\\InProcServer32\(Default) = ”%System%\<dll name>.dll“

HKLM\SOFTWARE\Classes\CLSID\\InProcServer32\ThreadingModel = "Apartment"

Covesmer.AB還會生成"hs5pdllv42234"互斥體，以避免多個副本同時運行。

註：'%System%'是一個可變的路徑。病毒通過查詢作業系統來決定System資料夾的位置。Windows 2000 and NT默認的系統安裝路徑是C:\Winnt\System32; 95,98 和 ME 的是C:\Windows\System; XP 的是C:\Windows\System32。

Covesmer.AB，又名Spam-DComServ (McAfee)，是一個可配置的bot。它執行自己的協定，允許它接受命令和交換信息。

Covesmer監聽任意連線埠，在2234連線埠連線65.19.154.71 IP位址，傳送以下信息：

被感染機器的Windows 版本；

特洛伊監聽的連線埠；

當前控制者的IP 地址和連線埠；

關於特洛伊的當前狀態和活性的信息。

通過這個後門，特洛伊能夠被指示執行以下操作：

連線特定的遠程主機重新得到數據，用來生成並傳送垃圾郵件；

下載並安裝更新；

連線其它的控制者；

報告關於被感染機器和活性的不同信息。

Covesmer.AB連線一個特定的IP位址和連線埠為了下載其它的程式。它將這個檔案保存到%Temp%\maindll.dll，監測出是Win32/Covesmer病毒。

隨後特洛伊通過HTTP連線相同的IP位址獲取一個URL。這個URL被"maindll.dll"用來下載一個包含Kaspersky 防病毒軟體副本的一個檔案。Covesmer.AB解壓這個檔案，保存到%Windows%\$NtUninstallKB<7 digits >$，並在10分鐘後使用這個防病毒軟體掃描被感染機器。掃描結果報告給特洛伊的控制者。

特洛伊還生成"hs5p_av_mutex"互斥體防止運行多個掃描器。

註：'%Temp%'是一個可變的路徑。病毒通過查詢作業系統來決定Temp資料夾的位置。一般在以下路徑"C:\Documents and Settings\<username>\Local Settings\Temp"，或 "C:\WINDOWS\TEMP"。

'%Windows %'是一個可變的路徑。病毒通過查詢作業系統來決定Windows資料夾的位置。Windows 2000 and NT默認的系統安裝路徑是C:\Winnt; 95,98 和 ME 的是C:\Windows; XP 的是C:\Windows。

Covesmer.AB修改Hosts檔案，將以下域改變為localhost (127.0.0.1)，有效的阻止用戶訪問這些域：

其它信息

Covesmer.AB刪除以下鍵值：

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\DCOM Server

它還可能生成"2234.dat"檔案，包含配置資料（包括當前控制者的IP位址和連線埠等等）。每當Covesmer.AB運行時，它就會查找"2234.dat"檔案，如果找到這個檔案，它就會載入檔案內容而不使用默認設定。