Kaspersky Threats

Clase

Plataforma

Descripción

Detalles técnicos

Cosol es un virus gusano que se propaga a través de Internet como un archivo adjunto de correo electrónico. Este gusano también tiene una rutina de backdoor y key-spy.

El gusano en sí es un archivo EXE de Windows PE de aproximadamente 355 Kb de tamaño (comprimido por UPX, su tamaño descomprimido es de aproximadamente 675 Kb), escrito en Delphi.

Los mensajes infectados tienen un archivo EXE adjunto con un nombre seleccionado al azar de entre las siguientes variantes:

cosol.exe
mirch.exe
myprog.exe
Anti.exe
projekt2.exe
eb.exe
Vis.exe
msn.exe
Buch.exe
Tach.exe

El cuerpo del mensaje también se selecciona al azar de varias variantes:

Heloo !!!
Te envío este programa
Creo que te gusta
¡Hola!,
Este es mi programa Cool
ejecuta este programa, tu mástil
¡¡¡Tener hacer que haces!!!
Envié este programa, especial para ti.
Toma el atachment y corre !!!

Cosa se activa a partir de correos electrónicos infectados solo cuando un usuario hace clic en el archivo adjunto. El gusano se instala en el sistema y ejecuta las rutinas de propagación, puerta trasera y espionaje. Durante la instalación, el gusano crea los siguientes archivos en el directorio de Windows:

DC220.EXE – copia de gusano
BIOS.EXE – una copia más de gusano
CSOLP.EXE – componente gusano

Cosa registra los siguientes archivos en la clave de ejecución automática del registro del sistema:

HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
rundll =% WindowsDir% DC220.exe
HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnce
rundll32 =% WindowsDir% csolp.exe

El gusano también crea y ejecuta un programa señuelo:

Archivos de programa Archivos comunesRASKR.EXE

Se crea un subdirectorio (subdirectorios) en el directorio de Windows y es donde Cosol escribe sus archivos temporales:

syssend
sysmai
sysem

Puerta trasera
La rutina de puerta trasera permite el funcionamiento remoto de una computadora infectada. También informa la información de disco y archivo, crea, elimina y ejecuta archivos, envía archivos maestros de la computadora infectada al compilador "maestro", busca los archivos de contraseñas (incluidos los archivos WebMoney) y los envía también a la computadora "maestra" con acceso de operación remota. Archivos afectados por la rutina de puerta trasera:

* .kwm
*.revista
* .pwl
* .pwm
* R�� ?? *. Txt
* pase * .txt
*? �R'� * .txt
* R� � ?? * * exl
* R�� ?? *. Exl
* pase * .exl
*? �R'� * .exl

La rutina key-spy registra todas las teclas presionadas en el teclado y envía esta información a la computadora "maestra" con acceso remoto.

Enlace al original

Descubra las estadísticas de las amenazas que se propagan en su región

Clase	Email-Worm
Plataforma	Win32
Descripción	Detalles técnicos Cosol es un virus gusano que se propaga a través de Internet como un archivo adjunto de correo electrónico. Este gusano también tiene una rutina de backdoor y key-spy. El gusano en sí es un archivo EXE de Windows PE de aproximadamente 355 Kb de tamaño (comprimido por UPX, su tamaño descomprimido es de aproximadamente 675 Kb), escrito en Delphi. Los mensajes infectados tienen un archivo EXE adjunto con un nombre seleccionado al azar de entre las siguientes variantes: cosol.exe mirch.exe myprog.exe Anti.exe projekt2.exe eb.exe Vis.exe msn.exe Buch.exe Tach.exe El cuerpo del mensaje también se selecciona al azar de varias variantes: Heloo !!! Te envío este programa Creo que te gusta ¡Hola!, Este es mi programa Cool ejecuta este programa, tu mástil ¡¡¡Tener hacer que haces!!! Envié este programa, especial para ti. Toma el atachment y corre !!! Cosa se activa a partir de correos electrónicos infectados solo cuando un usuario hace clic en el archivo adjunto. El gusano se instala en el sistema y ejecuta las rutinas de propagación, puerta trasera y espionaje. Durante la instalación, el gusano crea los siguientes archivos en el directorio de Windows: DC220.EXE – copia de gusano BIOS.EXE – una copia más de gusano CSOLP.EXE – componente gusano Cosa registra los siguientes archivos en la clave de ejecución automática del registro del sistema: HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices rundll =% WindowsDir% DC220.exe HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnce rundll32 =% WindowsDir% csolp.exe El gusano también crea y ejecuta un programa señuelo: Archivos de programa Archivos comunesRASKR.EXE Se crea un subdirectorio (subdirectorios) en el directorio de Windows y es donde Cosol escribe sus archivos temporales: syssend sysmai sysem Puerta trasera La rutina de puerta trasera permite el funcionamiento remoto de una computadora infectada. También informa la información de disco y archivo, crea, elimina y ejecuta archivos, envía archivos maestros de la computadora infectada al compilador "maestro", busca los archivos de contraseñas (incluidos los archivos WebMoney) y los envía también a la computadora "maestra" con acceso de operación remota. Archivos afectados por la rutina de puerta trasera: * .kwm .revista .pwl * .pwm * R�� ?? . Txt pase * .txt ? �R'� .txt * R� � ?? * * exl * R�� ?? . Exl pase * .exl ? �R'� .exl La rutina key-spy registra todas las teclas presionadas en el teclado y envía esta información a la computadora "maestra" con acceso remoto.
	Enlace al original
	Descubra las estadísticas de las amenazas que se propagan en su región

Email-Worm.Win32.Cosol

Detalles técnicos