ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Email-Worm.Win32.Cosol

Clase Email-Worm
Plataforma Win32
Descripción

Detalles técnicos

Cosol es un virus gusano que se propaga a través de Internet como un archivo adjunto de correo electrónico. Este gusano también tiene una rutina de backdoor y key-spy.

El gusano en sí es un archivo EXE de Windows PE de aproximadamente 355 Kb de tamaño (comprimido por UPX, su tamaño descomprimido es de aproximadamente 675 Kb), escrito en Delphi.

Los mensajes infectados tienen un archivo EXE adjunto con un nombre seleccionado al azar de entre las siguientes variantes:

  • cosol.exe
  • mirch.exe
  • myprog.exe
  • Anti.exe
  • projekt2.exe
  • eb.exe
  • Vis.exe
  • msn.exe
  • Buch.exe
  • Tach.exe
  • El cuerpo del mensaje también se selecciona al azar de varias variantes:

  • Heloo !!!
    Te envío este programa
    Creo que te gusta
  • ¡Hola!,
    Este es mi programa Cool
    ejecuta este programa, tu mástil
  • ¡¡¡Tener hacer que haces!!!
    Envié este programa, especial para ti.
    Toma el atachment y corre !!!
  • Cosa se activa a partir de correos electrónicos infectados solo cuando un usuario hace clic en el archivo adjunto. El gusano se instala en el sistema y ejecuta las rutinas de propagación, puerta trasera y espionaje. Durante la instalación, el gusano crea los siguientes archivos en el directorio de Windows:

  • DC220.EXE – copia de gusano
  • BIOS.EXE – una copia más de gusano
  • CSOLP.EXE – componente gusano
  • Cosa registra los siguientes archivos en la clave de ejecución automática del registro del sistema:

  • HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
    rundll =% WindowsDir% DC220.exe
  • HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnce
    rundll32 =% WindowsDir% csolp.exe
  • El gusano también crea y ejecuta un programa señuelo:

    Archivos de programa Archivos comunesRASKR.EXE

    Se crea un subdirectorio (subdirectorios) en el directorio de Windows y es donde Cosol escribe sus archivos temporales:

  • syssend
  • sysmai
  • sysem
  • Puerta trasera
    La rutina de puerta trasera permite el funcionamiento remoto de una computadora infectada. También informa la información de disco y archivo, crea, elimina y ejecuta archivos, envía archivos maestros de la computadora infectada al compilador "maestro", busca los archivos de contraseñas (incluidos los archivos WebMoney) y los envía también a la computadora "maestra" con acceso de operación remota. Archivos afectados por la rutina de puerta trasera:

    * .kwm
    *.revista
    * .pwl
    * .pwm
    * R�� ?? *. Txt
    * pase * .txt
    *? �R'� * .txt
    * R� � ?? * * exl
    * R�� ?? *. Exl
    * pase * .exl
    *? �R'� * .exl

    La rutina key-spy registra todas las teclas presionadas en el teclado y envía esta información a la computadora "maestra" con acceso remoto.


    Enlace al original