Kaspersky Threats

Sınıf

Platform

Açıklama

Teknik detaylar

Cosol, Internet üzerinden bir e-posta eki olarak yayılan bir solucan virüsüdür. Bu solucan da bir arka kapı ve anahtar casusluk rutinleri var.

Solucanın kendisi, yaklaşık 355Kb boyutunda bir Windows PE EXE dosyasıdır (UPX tarafından sıkıştırılmış, sıkıştırılmış boyutu yaklaşık 675Kb'dir), Delphi'de yazılmıştır.

Virüs bulaşan mesajlar, aşağıdaki varyantlardan rastgele seçilen bir ada sahip bir EXE dosyasına sahiptir:

cosol.exe
mirch.exe
myprog.exe
Anti.exe
projekt2.exe
eb.exe
Vis.exe
msn.exe
Buch.exe
Tach.exe

Mesaj gövdesi ayrıca çeşitli varyantlardan rastgele seçilir:

Heloo !!!
Sana bu programı yolladım
bunu sevdiğini düşünüyorum
Merhaba!,
Bu benim Cool programım
Bu programı çalıştırın
Sen yapabildin mi!!!
Bu programı sana özel olarak gönderdim.
Ataşe al ve koş!

Cosa, yalnızca bir kullanıcı ekli dosyayı tıkladığında virüslü e-postalardan etkinleştirir. Solucan kendini sisteme yükler ve yayılan, arka kapı ve anahtar casusluk rutinlerini çalıştırır. Yükleme sırasında solucan, Windows dizininde aşağıdaki dosyaları oluşturur:

DC220.EXE – solucan kopyası
BIOS.EXE – bir daha solucan kopyası
CSOLP.EXE – solucan bileşeni

Cosa, sistem kayıt defteri otomatik çalıştırma anahtarında aşağıdaki dosyaları kaydeder:

HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
rundll =% WindowsDir% DC220.exe
HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnce
rundll32 =% WindowsDir% csolp.exe

Solucan aynı zamanda bir çılgın programı yaratır ve çalıştırır:

Program FilesCommon FilesRASKR.EXE

Windows dizininde bir alt dizin (alt dizin) oluşturulur ve Cosol geçici dosyalarını yazar:

syssend
sysmai
Sysem

Arka kapı
Arka kapı rutini, virüslü bir bilgisayarın uzaktan çalıştırılmasını sağlar. Ayrıca, disk ve dosya bilgilerini bildirir, dosyaları oluşturur, siler ve yürütür, virüslü bilgisayardan ana dosyaları "ana" bilgisayara gönderir, parola dosyalarını (WebMoney dosyaları dahil) arar ve bunları "ana" bilgisayarla birlikte gönderir. uzaktan çalıştırma erişimi. Arka kapı rutinden etkilenen dosyalar:

* .kwm
* .mag
* .pwl
* .pwm
R * ?? *. Txt
* Pas * .txt
*? R '*. Txt
* R� � ?? *. Exl
*, R * ??. Exl
* Pas * .exl
*? R '*. Exl

Anahtar-casus rutini klavyede basılan tüm tuşları kaydeder ve bu bilgiyi uzaktan erişim ile "ana" bilgisayara gönderir.

Orijinaline link

Bölgenizde yayılan tehditlerin istatistiklerini öğrenin

Sınıf	Email-Worm
Platform	Win32
Açıklama	Teknik detaylar Cosol, Internet üzerinden bir e-posta eki olarak yayılan bir solucan virüsüdür. Bu solucan da bir arka kapı ve anahtar casusluk rutinleri var. Solucanın kendisi, yaklaşık 355Kb boyutunda bir Windows PE EXE dosyasıdır (UPX tarafından sıkıştırılmış, sıkıştırılmış boyutu yaklaşık 675Kb'dir), Delphi'de yazılmıştır. Virüs bulaşan mesajlar, aşağıdaki varyantlardan rastgele seçilen bir ada sahip bir EXE dosyasına sahiptir: cosol.exe mirch.exe myprog.exe Anti.exe projekt2.exe eb.exe Vis.exe msn.exe Buch.exe Tach.exe Mesaj gövdesi ayrıca çeşitli varyantlardan rastgele seçilir: Heloo !!! Sana bu programı yolladım bunu sevdiğini düşünüyorum Merhaba!, Bu benim Cool programım Bu programı çalıştırın Sen yapabildin mi!!! Bu programı sana özel olarak gönderdim. Ataşe al ve koş! Cosa, yalnızca bir kullanıcı ekli dosyayı tıkladığında virüslü e-postalardan etkinleştirir. Solucan kendini sisteme yükler ve yayılan, arka kapı ve anahtar casusluk rutinlerini çalıştırır. Yükleme sırasında solucan, Windows dizininde aşağıdaki dosyaları oluşturur: DC220.EXE – solucan kopyası BIOS.EXE – bir daha solucan kopyası CSOLP.EXE – solucan bileşeni Cosa, sistem kayıt defteri otomatik çalıştırma anahtarında aşağıdaki dosyaları kaydeder: HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices rundll =% WindowsDir% DC220.exe HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnce rundll32 =% WindowsDir% csolp.exe Solucan aynı zamanda bir çılgın programı yaratır ve çalıştırır: Program FilesCommon FilesRASKR.EXE Windows dizininde bir alt dizin (alt dizin) oluşturulur ve Cosol geçici dosyalarını yazar: syssend sysmai Sysem Arka kapı Arka kapı rutini, virüslü bir bilgisayarın uzaktan çalıştırılmasını sağlar. Ayrıca, disk ve dosya bilgilerini bildirir, dosyaları oluşturur, siler ve yürütür, virüslü bilgisayardan ana dosyaları "ana" bilgisayara gönderir, parola dosyalarını (WebMoney dosyaları dahil) arar ve bunları "ana" bilgisayarla birlikte gönderir. uzaktan çalıştırma erişimi. Arka kapı rutinden etkilenen dosyalar: * .kwm * .mag * .pwl * .pwm R * ?? . Txt Pas * .txt ? R '. Txt * R� � ?? . Exl , R * ??. Exl * Pas * .exl ? R '. Exl Anahtar-casus rutini klavyede basılan tüm tuşları kaydeder ve bu bilgiyi uzaktan erişim ile "ana" bilgisayara gönderir.
	Orijinaline link
	Bölgenizde yayılan tehditlerin istatistiklerini öğrenin

Email-Worm.Win32.Cosol

Teknik detaylar