Kezdolap  
 
   


W32/Colevo@MM

Adatlap

Felfedezés időpontja: 2003.06.28.
Eredet: ismeretlen
Hossz: 188928 bájt tömörítve
Típus: vírus
Altípus: programféreg
Adatbázis-verzió: 4274
Keresőmotor-verzió: 4.1.60

Előfordulás valószínűsége

Vállalati környezet: Alacsony
Egyéni felhasználók: Közepes

Tulajdonságok

A programféreg gyors terjedése miatt miatt június 30-ával a McAfee víruskutató csapata az egyéni felhasználók körében közepesre módosította a W32/Colevo@MM vírus előfordulási valószínűségét. A vírus természetéből adódóan vállalati környezetben az előfordulási valószínűsége alacsony.

A W32/Colevo@MM vírus az MSN Messenger címgyűjtemény alapján továbbítja magát. Elindítja az Internet Explorer-t és az alábbi oldalakat jeleníti meg (emellett Evo Morales, bolíviai indián vezető képeit is megjeleníti):

  • http://jeremybigwood.net
  • http://news.bbc.co.uk
  • http://www.commondreams.org/headlines/images/100700-01.jpg
  • http://www-ni.laprensa.com.ni
  • http://www.soc.uu.se
  • http://www.cannabisculture.com
  • http://www.chilevive.cl
  • http://membres.lycos.fr
  • http://news.bbc.co.uk
  • http://www.movimientos.org

A programféreg futtatása után a Windows (%WINDIR%) könyvtárba másolja magát az alábbi fájlnevek valamelyikével:

  • All Users.exe
  • command.exe
  • Hot Girl.scr
  • hotmailpass.exe
  • Inf.exe
  • Internet Download.exe
  • Internet File.exe
  • Part Hard Disk.exe
  • Shell.exe
  • system.exe
  • system32.exe
  • system64.pif
  • Temp.exe

A rendszer (%SYSDIR%) könyvtárban az alábbi nevek valamelyikén fordulhat elő:

  • Inf.exe
  • net.com
  • www.microsoft.com

(A %SYSDIR% könyvtár: C:\WINDOWS\SYSTEM32 vagy C:\WINNT\SYSTEM32)

Terjedés Email-ben
A vírus az MSN Messenger címjegyzékében található címekre továbbküldi magát egy Hotmail SMTP szerver segítségével. A levél az alábbi tulajdonságokkal rendelkezik:

Tárgy: El adelanto de matrix ta gueno?
Üzenettörzs: Pablo_Hack
Oye te U paso el programa para entrar a cuentas del messenger, y facilingo te lo paso a voz nomas, prometeme que no se lo pasas a nadie, ya?Respondeme que tal te parecio. chau?

A csatolt állomány neve: hotmailpass.exe

A backdoor komponens

A programféreg több TCP portot is nyitva hagy a számítógépen, amivel lehetővé teszi a gép távoli elérését. Nyitott portok: 1168, 1169, 1170, 2536.

Tünetek

A fenti állományok, illetve az alábbi Registry bejegyzések:

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
    Run "System"=%WinDir%\system.exe
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
    Run\1\2\3\4 "System"=%WinDir%\system.exe
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
    RunSevices "System"=%WinDir%\system.exe
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
    RunSevicesOnce "System"=%WinDir%\temp.exe
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
    Run "System"=%WinDir%\system.exe
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
    Run\1\2\3\4 "System"=%WinDir%\temp.exe
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
    RunSevices "System"=%WinDir%\commands.com
  • A programféreg az alábbi Registry kulcsok módosításával eléri, hogy minden EXE. BAT, COM, HTA, és PIF kiterjesztésű állomány futtatásakor lefusson a vírus kód:
  • HKEY_CLASSES_ROOT\exefile "NeverShowExt"=
    (Hides the file extension of executables)
  • HKEY_CLASSES_ROOT\batfile\shell\open\command
    "(Default)" = "%WinDir%\temp.exe", "%1" %*
  • HKEY_CLASSES_ROOT\comfile\shell\open\command
    "(Default)" = "%WinDir\Inf.exe", "%1" %*
  • HKEY_CLASSES_ROOT\exefile\shell\open\command
    "(Default)" = "%WinDir%\command.exe", "%1" %*
  • HKEY_CLASSES_ROOT\htafile\Shell\Open\Command
    "(Default)" = "%WinDir%"\commands.com", "%1" %*
  • HKEY_CLASSES_ROOT\piffile\shell\open\command
    "(Default)" = "%WinDir%\commands.com", "%1" %*

A system.ini módosításával a programféreg minden rendszerinduláskor lefut:

[boot] "Shell" = explorer.exe temp.exe

Az alábbi bejegyzések a win.ini állományban találhatók:

[windows] "load" =archivo.exe
[windows] "run"= archivo.exe

Az alábbi értéket törli a vírus a win.ini-ből:

[windows] "NullPort"

Továbbá az alábbi megjegyzést fűzi hozzá (win.ini):

####Viva el EVO, y jamas erradicaran la Coca Cola!!! mentira colla maldito!! (PYN Pablo_Hack@hotmail.com)####

A fertőzés menete

A programféreg email-en keresztül érkezik és felhasználói beavatkozás (a csatolt állomány futtatása) szükséges a vírus ktivizálásához. A vírus a Windows-os környezetben megszokott "mappa" objektumhoz hasonló ikont használ. A kiterjesztések eltüntetésével tovább növekszik annak lehetősége, hogy a felhasználó lefutassa a csatolt állományt és aktivizálja a vírust.

Eltávolítási utasítások

A felismeréshez és az eltávolításhoz használja a 4274-es adatbázisokat.

Egyéb elnevezések

I-Worm.Colevo (AVP)
Win32/Meve.A (RAV)

  
  A PiK-SYS Kft. által készített dokumentációk és információs anyagok szerzői jogi védelem alatt állnak. (C) PiK-SYS Kft., 2003.