Email-Worm.Win32.Cosol

技術的な詳細

Cosolは、電子メールの添付ファイルとしてインターネットを介して広がるワームのウイルスです。このワームにはバックドアとキースパイルーチンもあります。

ワーム自体は、Delphiで書かれたWindows PE EXEファイルで、約355KBのサイズ（UPXで圧縮され、圧縮解除サイズは約675KB）です。

感染したメッセージには、以下の亜種からランダムに選択された名前を持つ添付ファイルEXEがあります。

cosol.exe

mirch.exe

myprog.exe

Anti.exe

projekt2.exe

eb.exe

Vis.exe

msn.exe

Buch.exe

Tach.exe

メッセージ本文は、いくつかの亜種からランダムに選択されています。

Heloo !!!
私はあなたにこのプログラムを送ります
私はあなたがそれを好きだと思う

こんにちは！、
これは私のクールなプログラムです
このプログラムを実行すると、あなたのようにマストする

あなたはしていますか？
私はあなたに特別なこのプログラムを送った。
atachmentを実行し、実行してください！

Cosaは、ユーザーが添付ファイルをクリックしたときにのみ、感染した電子メールからアクティブになります。その後、ワームは自身をシステムにインストールし、拡散、バックドア、キースパイルーチンを実行します。インストール中、ワームはWindowsディレクトリに次のファイルを作成します。

DC220.EXE – ワームコピー

BIOS.EXE – もう1つのワームコピー

CSOLP.EXE – ワームコンポーネント

Cosaは、システムレジストリの自動実行キーに次のファイルを登録します。

HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
rundll =％WindowsDir％DC220.exe

HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnce
rundll32 =％WindowsDir％csolp.exe

ワームはまた、デコイプログラムを作成して実行します。

プログラムFilesCommon FilesRASKR.EXE

サブディレクトリー（subdirs）は、Windowsディレクトリーに作成され、Cosolがその一時ファイルを書き込む場所です。

syssend

sysmai

sysem

バックドア
バックドアルーチンは、感染したコンピュータのリモート操作を可能にします。また、ディスクとファイルの情報を報告し、ファイルを作成、削除、実行し、感染したコンピュータのマスタファイルを「マスタ」コンピュータに送信し、パスワードファイル（WebMoneyファイルを含む）を探し、「マスタ」コンピュータに送信しますリモート操作アクセス。バックドアルーチンの影響を受けるファイル：

* .kwm
* .mag
* .pwl
* .pwm
*R��?? *。txt
*パス* .txt
*？ �R'�* .txt
*R��?? *。exl
* R ?? ?? *。exl
*パス* .exl
*？ �R'�* .exl

キースパイルーチンは、キーボードで押されたすべてのキーを記録し、この情報をリモートアクセスの「マスター」コンピュータに送信します。