BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

Email-Worm.Win32.Cosol

Sınıf Email-Worm
Platform Win32
Açıklama

Teknik detaylar

Cosol, Internet üzerinden bir e-posta eki olarak yayılan bir solucan virüsüdür. Bu solucan da bir arka kapı ve anahtar casusluk rutinleri var.

Solucanın kendisi, yaklaşık 355Kb boyutunda bir Windows PE EXE dosyasıdır (UPX tarafından sıkıştırılmış, sıkıştırılmış boyutu yaklaşık 675Kb'dir), Delphi'de yazılmıştır.

Virüs bulaşan mesajlar, aşağıdaki varyantlardan rastgele seçilen bir ada sahip bir EXE dosyasına sahiptir:

  • cosol.exe
  • mirch.exe
  • myprog.exe
  • Anti.exe
  • projekt2.exe
  • eb.exe
  • Vis.exe
  • msn.exe
  • Buch.exe
  • Tach.exe
  • Mesaj gövdesi ayrıca çeşitli varyantlardan rastgele seçilir:

  • Heloo !!!
    Sana bu programı yolladım
    bunu sevdiğini düşünüyorum
  • Merhaba!,
    Bu benim Cool programım
    Bu programı çalıştırın
  • Sen yapabildin mi!!!
    Bu programı sana özel olarak gönderdim.
    Ataşe al ve koş!
  • Cosa, yalnızca bir kullanıcı ekli dosyayı tıkladığında virüslü e-postalardan etkinleştirir. Solucan kendini sisteme yükler ve yayılan, arka kapı ve anahtar casusluk rutinlerini çalıştırır. Yükleme sırasında solucan, Windows dizininde aşağıdaki dosyaları oluşturur:

  • DC220.EXE – solucan kopyası
  • BIOS.EXE – bir daha solucan kopyası
  • CSOLP.EXE – solucan bileşeni
  • Cosa, sistem kayıt defteri otomatik çalıştırma anahtarında aşağıdaki dosyaları kaydeder:

  • HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
    rundll =% WindowsDir% DC220.exe
  • HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnce
    rundll32 =% WindowsDir% csolp.exe
  • Solucan aynı zamanda bir çılgın programı yaratır ve çalıştırır:

    Program FilesCommon FilesRASKR.EXE

    Windows dizininde bir alt dizin (alt dizin) oluşturulur ve Cosol geçici dosyalarını yazar:

  • syssend
  • sysmai
  • Sysem
  • Arka kapı
    Arka kapı rutini, virüslü bir bilgisayarın uzaktan çalıştırılmasını sağlar. Ayrıca, disk ve dosya bilgilerini bildirir, dosyaları oluşturur, siler ve yürütür, virüslü bilgisayardan ana dosyaları "ana" bilgisayara gönderir, parola dosyalarını (WebMoney dosyaları dahil) arar ve bunları "ana" bilgisayarla birlikte gönderir. uzaktan çalıştırma erişimi. Arka kapı rutinden etkilenen dosyalar:

    * .kwm
    * .mag
    * .pwl
    * .pwm
    R * ?? *. Txt
    * Pas * .txt
    *? R '*. Txt
    * R� � ?? *. Exl
    *, R * ??. Exl
    * Pas * .exl
    *? R '*. Exl

    Anahtar-casus rutini klavyede basılan tüm tuşları kaydeder ve bu bilgiyi uzaktan erişim ile "ana" bilgisayara gönderir.


    Orijinaline link