本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Email-Worm.Win32.Cosol

クラス Email-Worm
プラットフォーム Win32
説明

技術的な詳細

Cosolは、電子メールの添付ファイルとしてインターネットを介して広がるワームのウイルスです。このワームにはバックドアとキースパイルーチンもあります。

ワーム自体は、Delphiで書かれたWindows PE EXEファイルで、約355KBのサイズ(UPXで圧縮され、圧縮解除サイズは約675KB)です。

感染したメッセージには、以下の亜種からランダムに選択された名前を持つ添付ファイルEXEがあります。

  • cosol.exe
  • mirch.exe
  • myprog.exe
  • Anti.exe
  • projekt2.exe
  • eb.exe
  • Vis.exe
  • msn.exe
  • Buch.exe
  • Tach.exe
  • メッセージ本文は、いくつかの亜種からランダムに選択されています。

  • Heloo !!!
    私はあなたにこのプログラムを送ります
    私はあなたがそれを好きだと思う
  • こんにちは!、
    これは私のクールなプログラムです
    このプログラムを実行すると、あなたのようにマストする
  • あなたはしていますか?
    私はあなたに特別なこのプログラムを送った。
    atachmentを実行し、実行してください!
  • Cosaは、ユーザーが添付ファイルをクリックしたときにのみ、感染した電子メールからアクティブになります。その後、ワームは自身をシステムにインストールし、拡散、バックドア、キースパイルーチンを実行します。インストール中、ワームはWindowsディレクトリに次のファイルを作成します。

  • DC220.EXE – ワームコピー
  • BIOS.EXE – もう1つのワームコピー
  • CSOLP.EXE – ワームコンポーネント
  • Cosaは、システムレジストリの自動実行キーに次のファイルを登録します。

  • HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
    rundll =%WindowsDir%DC220.exe
  • HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnce
    rundll32 =%WindowsDir%csolp.exe
  • ワームはまた、デコイプログラムを作成して実行します。

    プログラムFilesCommon FilesRASKR.EXE

    サブディレクトリー(subdirs)は、Windowsディレクトリーに作成され、Cosolがその一時ファイルを書き込む場所です。

  • syssend
  • sysmai
  • sysem
  • バックドア
    バックドアルーチンは、感染したコンピュータのリモート操作を可能にします。また、ディスクとファイルの情報を報告し、ファイルを作成、削除、実行し、感染したコンピュータのマスタファイルを「マスタ」コンピュータに送信し、パスワードファイル(WebMoneyファイルを含む)を探し、「マスタ」コンピュータに送信しますリモート操作アクセス。バックドアルーチンの影響を受けるファイル:

    * .kwm
    * .mag
    * .pwl
    * .pwm
    *R��?? *。txt
    *パス* .txt
    *? �R'�* .txt
    *R��?? *。exl
    * R ?? ?? *。exl
    *パス* .exl
    *? �R'�* .exl

    キースパイルーチンは、キーボードで押されたすべてのキーを記録し、この情報をリモートアクセスの「マスター」コンピュータに送信します。


    オリジナルへのリンク