Уровень риска для домашних пользователей определен как средний. Для корпоративных пользователей вирус представляет низкий уровень риска.

W32/Colevo@MM – это червь массовой почтовой рассылки, который просматривает контактные записи MSN Messenger в поисках адресов для распространения.

Вирус запускает Internet Explorer и подключается к ряду новостных серверов:

• http://jeremybigwood.net
• http://news.bbc.co.uk
• http://www.commondreams.org/headlines/images/100700-01.jpg
• http://www-ni.laprensa.com.ni
• http://www.soc.uu.se
• http://www.cannabisculture.com
• http://www.chilevive.cl
• http:// http://membres.lycos.fr
• http://news.bbc.co.uk
• http://www.movimientos.org

После запуска червь копирует себя в каталог %WINDIR% под следующими именами файлов:

• All Users.exe
• command.exe
• Hot Girl.scr
• hotmailpass.exe
• Inf.exe
• Internet Download .exe
• Internet File.exe
• Part Hard Disk.exe
• Shell.exe
• system.exe
• system32.exe
• system64.pif
• Temp.exe

Также копируется в каталог %SYSDIR% под следующими именами файлов:

• Inf.exe
• net.com
• www.microsoft.com

Распространение по почте

Строки в теле вируса дают основание предположить, что червь соединяется с SMTP сервером службы Hotmail и отправляет свою копию всем адресатам из адресной книги MSN Messenger. Формат письма следующий:

Тема: El adelanto de matrix ta gueno‼
Тело письма: Pablo_Hack
Oye te U paso el programa para entrar a cuentas del messenger, y facilingo te lo paso a voz nomas, prometeme que no se lo pasas a nadie, ya?Respondeme que tal te parecio. chau‼
Вложение: hotmailpass.exe

Троянский компонент

Вирус открывает некоторое количество портов на зараженной машине для облегчения доступа удаленного взломщика. Список открываемых портов включает 1168, 1169, 1170 и 2536.

Симптомы

Наличие вышеуказанных файлов.

Наличие в реестре следующих записей, позволяющих вирусу запуститься при старте операционной системы:

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Run "System"=%WinDir%\system.exe
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Run\1\2\3\4 "System"=%WinDir%\system.exe
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ RunSevices "System"=%WinDir%\system.exe
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ RunSevicesOnce "System"=%WinDir%\temp.exe
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Run "System"=%WinDir%\system.exe
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Run\1\2\3\4 "System"=%WinDir%\temp.exe
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunSevices "System"=%WinDir%\commands.com

Червь также изменяет следующие ключи для запуска по связанным расширениям файлов:

• HKEY_CLASSES_ROOT\exefile "NeverShowExt"= (Отключает показ расширения исполняемых файлов)
• HKEY_CLASSES_ROOT\batfile\shell\open\command "(Default)" = "%WinDir%\temp.exe", "%1" %*
• HKEY_CLASSES_ROOT\comfile\shell\open\command "(Default)" = "%WinDir\Inf.exe", "%1" %*
• HKEY_CLASSES_ROOT\exefile\shell\open\command "(Default)" = "%WinDir%\command.exe", "%1" %*
• HKEY_CLASSES_ROOT\htafile\Shell\Open\Command "(Default)" = "%WinDir%"\commands.com", "%1" %*
• HKEY_CLASSES_ROOT\piffile\shell\open\command "(Default)" = "%WinDir%\commands.com", "%1" %*

I-Worm.Colevo (AVP)
Win32/Meve.a@MM (RAV)br>

Вернуться в архив новостей