CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Email-Worm.Win32.Cosol

Classe Email-Worm
Plateforme Win32
Description

Détails techniques

Cosol est un virus de ver qui se propage via Internet en tant que pièce jointe à un e-mail. Ce ver a aussi une backdoor et des routines de type key-spy.

Le ver lui-même est un fichier Windows PE EXE d'environ 355 Ko (compressé par UPX, sa taille décompressée est d'environ 675 Ko), écrit en Delphi.

Les messages infectés ont un fichier EXE attaché avec un nom choisi au hasard parmi les variantes suivantes:

  • cosol.exe
  • mirch.exe
  • myprog.exe
  • Anti.exe
  • projekt2.exe
  • eb.exe
  • Vis.exe
  • msn.exe
  • Buch.exe
  • Tach.exe
  • Le corps du message est également sélectionné au hasard parmi plusieurs variantes:

  • Heloo !!!
    Je vous envoie ce programme
    Je pense que tu aimes ça
  • Salut!,
    C'est mon programme Cool
    exécuter ce programme, vous mât comme
  • Avez-vous faire !!!
    J'ai envoyé ce programme, spécial pour vous.
    Prenez l'atachment et courez!
  • Cosa s'active à partir d'e-mails infectés uniquement lorsqu'un utilisateur clique sur le fichier joint. Le ver s'installe alors dans le système et exécute les routines de propagation, de porte dérobée et de clé-espion. Pendant l'installation, le ver crée les fichiers suivants dans le répertoire Windows:

  • DC220.EXE – Copie de ver
  • BIOS.EXE – une copie de ver supplémentaire
  • CSOLP.EXE – composant ver
  • Cosa enregistre les fichiers suivants dans la clé d'exécution automatique du registre système:

  • HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
    rundll =% WindowsDir% DC220.exe
  • HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnce
    rundll32 =% WindowsDir% csolp.exe
  • Le ver crée et exécute également un programme de leurrage:

    Fichiers programmeFichiers communsRASKR.EXE

    Un sous-répertoire (sous-répertoires) est créé dans le répertoire Windows et est l'endroit où Cosol écrit ses fichiers temporaires:

  • Syssend
  • sysmai
  • sysem
  • Porte de derrière
    La routine de porte dérobée permet le fonctionnement à distance d'un ordinateur infecté. Il signale également les informations sur les disques et les fichiers, crée, supprime et exécute les fichiers, envoie les fichiers maîtres de l'ordinateur infecté au computeur maître, recherche les fichiers de mots de passe (y compris les fichiers WebMoney) et les envoie également à l'ordinateur maître. accès à distance. Fichiers affectés par la routine de backdoor:

    * .kwm
    * .mag
    * .pwl
    * .pwm
    * R�� ?? *. Txt
    * pass * .txt
    *? �R'� * .txt
    * R� � ?? *. Exl
    * R�� ?? *. Exl
    * pass * .exl
    *? �R'� * .exl

    La routine key-spy enregistre toutes les touches appuyées sur le clavier et envoie cette information à l'ordinateur "maître" avec accès à distance.


    Lien vers l'original