Kaspersky Threats

Classe

Plateforme

Description

Détails techniques

Cosol est un virus de ver qui se propage via Internet en tant que pièce jointe à un e-mail. Ce ver a aussi une backdoor et des routines de type key-spy.

Le ver lui-même est un fichier Windows PE EXE d'environ 355 Ko (compressé par UPX, sa taille décompressée est d'environ 675 Ko), écrit en Delphi.

Les messages infectés ont un fichier EXE attaché avec un nom choisi au hasard parmi les variantes suivantes:

cosol.exe
mirch.exe
myprog.exe
Anti.exe
projekt2.exe
eb.exe
Vis.exe
msn.exe
Buch.exe
Tach.exe

Le corps du message est également sélectionné au hasard parmi plusieurs variantes:

Heloo !!!
Je vous envoie ce programme
Je pense que tu aimes ça
Salut!,
C'est mon programme Cool
exécuter ce programme, vous mât comme
Avez-vous faire !!!
J'ai envoyé ce programme, spécial pour vous.
Prenez l'atachment et courez!

Cosa s'active à partir d'e-mails infectés uniquement lorsqu'un utilisateur clique sur le fichier joint. Le ver s'installe alors dans le système et exécute les routines de propagation, de porte dérobée et de clé-espion. Pendant l'installation, le ver crée les fichiers suivants dans le répertoire Windows:

DC220.EXE – Copie de ver
BIOS.EXE – une copie de ver supplémentaire
CSOLP.EXE – composant ver

Cosa enregistre les fichiers suivants dans la clé d'exécution automatique du registre système:

HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
rundll =% WindowsDir% DC220.exe
HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnce
rundll32 =% WindowsDir% csolp.exe

Le ver crée et exécute également un programme de leurrage:

Fichiers programmeFichiers communsRASKR.EXE

Un sous-répertoire (sous-répertoires) est créé dans le répertoire Windows et est l'endroit où Cosol écrit ses fichiers temporaires:

Syssend
sysmai
sysem

Porte de derrière
La routine de porte dérobée permet le fonctionnement à distance d'un ordinateur infecté. Il signale également les informations sur les disques et les fichiers, crée, supprime et exécute les fichiers, envoie les fichiers maîtres de l'ordinateur infecté au computeur maître, recherche les fichiers de mots de passe (y compris les fichiers WebMoney) et les envoie également à l'ordinateur maître. accès à distance. Fichiers affectés par la routine de backdoor:

* .kwm
* .mag
* .pwl
* .pwm
* R�� ?? *. Txt
* pass * .txt
*? �R'� * .txt
* R� � ?? *. Exl
* R�� ?? *. Exl
* pass * .exl
*? �R'� * .exl

La routine key-spy enregistre toutes les touches appuyées sur le clavier et envoie cette information à l'ordinateur "maître" avec accès à distance.

Lien vers l'original

Découvrez les statistiques de la propagation des menaces dans votre région

Classe	Email-Worm
Plateforme	Win32
Description	Détails techniques Cosol est un virus de ver qui se propage via Internet en tant que pièce jointe à un e-mail. Ce ver a aussi une backdoor et des routines de type key-spy. Le ver lui-même est un fichier Windows PE EXE d'environ 355 Ko (compressé par UPX, sa taille décompressée est d'environ 675 Ko), écrit en Delphi. Les messages infectés ont un fichier EXE attaché avec un nom choisi au hasard parmi les variantes suivantes: cosol.exe mirch.exe myprog.exe Anti.exe projekt2.exe eb.exe Vis.exe msn.exe Buch.exe Tach.exe Le corps du message est également sélectionné au hasard parmi plusieurs variantes: Heloo !!! Je vous envoie ce programme Je pense que tu aimes ça Salut!, C'est mon programme Cool exécuter ce programme, vous mât comme Avez-vous faire !!! J'ai envoyé ce programme, spécial pour vous. Prenez l'atachment et courez! Cosa s'active à partir d'e-mails infectés uniquement lorsqu'un utilisateur clique sur le fichier joint. Le ver s'installe alors dans le système et exécute les routines de propagation, de porte dérobée et de clé-espion. Pendant l'installation, le ver crée les fichiers suivants dans le répertoire Windows: DC220.EXE – Copie de ver BIOS.EXE – une copie de ver supplémentaire CSOLP.EXE – composant ver Cosa enregistre les fichiers suivants dans la clé d'exécution automatique du registre système: HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices rundll =% WindowsDir% DC220.exe HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnce rundll32 =% WindowsDir% csolp.exe Le ver crée et exécute également un programme de leurrage: Fichiers programmeFichiers communsRASKR.EXE Un sous-répertoire (sous-répertoires) est créé dans le répertoire Windows et est l'endroit où Cosol écrit ses fichiers temporaires: Syssend sysmai sysem Porte de derrière La routine de porte dérobée permet le fonctionnement à distance d'un ordinateur infecté. Il signale également les informations sur les disques et les fichiers, crée, supprime et exécute les fichiers, envoie les fichiers maîtres de l'ordinateur infecté au computeur maître, recherche les fichiers de mots de passe (y compris les fichiers WebMoney) et les envoie également à l'ordinateur maître. accès à distance. Fichiers affectés par la routine de backdoor: * .kwm * .mag * .pwl * .pwm * R�� ?? . Txt pass * .txt ? �R'� .txt * R� � ?? . Exl R�� ?? . Exl pass * .exl ? �R'� .exl La routine key-spy enregistre toutes les touches appuyées sur le clavier et envoie cette information à l'ordinateur "maître" avec accès à distance.
	Lien vers l'original
	Découvrez les statistiques de la propagation des menaces dans votre région

Email-Worm.Win32.Cosol

Détails techniques