• Herramienta para quitar el W32/Colevo.A de un sistema infectado

Gusano de origen boliviano que se propaga a través del correo electrónico, a todos los contactos de .NET Messenger, en un adjunto de nombre "Hotmailpass.Exe".

Cómo es costumbre, cada fabricante le ha dado un nombre diferente, siendo "Colevo" el más común hasta el momento. Detectado por primera vez por HackSoft, fue descripto al comienzo como W32/Evomo.A (VSA 1086).

El gusano, escrito en Delphi, y comprimido con la herramienta ASPACK, cuando se ejecuta muestra varias imágenes del político de dicho país (Bolivia), Evo Morales.

NOTA: Evo Morales Ayma, fue candidato en las últimas elecciones presidenciales y es el líder de la federación de los productores de la hoja de coca y símbolo de la lucha contra la política neoliberal en Bolivia.

Este gusano posee su propia máquina SMTP, por lo que no depende de ningún cliente de correo electrónico instalado para enviarse.

Los mensajes pueden presentar algunas de estas características:

Ejemplo 1:

De: [usuario afectado]
Asunto: Al fin se puede hackear a hotmail!!
Datos adjuntos: hotmailpass.exe (puede variar)

Ejemplo 2:

De: [usuario afectado]
Asunto: El adelanto de matrix ta gueno
Datos adjuntos: hotmailpass.exe

Texto del mensaje:
Oye te ? paso el programa para entrar a cuentas
del messenger Z y facilingo te lo paso a voz nomas,
prometeme que no se lo pasas a nadie, ya? u
Respondeme que tal te parecio. chau

Cuando el usuario abre el adjunto, el gusano se ejecuta, creando los siguientes archivos:

c:\windows\All Users.exe
c:\windows\command.exe
c:\windows\system.exe
c:\windows\Hot Girl.scr
c:\windows\Inf.exe
c:\windows\Temp.exe
c:\windows\Internet download[espacios vacíos].exe
c:\windows\Shell.exe
c:\windows\System32.exe
c:\windows\System64.pif
c:\windows\Internet File.exe
c:\windows\Part Hard Disk.exe
c:\windows\hotmailpass.exe
c:\windows\system\command.com
c:\windows\system\net.com
c:\windows\system\www.microsoft.com
c:\windows\system\Inf.exe
c:\windows\All User\Server.exe
c:\windows\menu inicio\programas\inicio\www.microsoft.com
c:\recycled\Evo Morales.scr

NOTA: En todos los casos, "C:\Windows" y "C:\Windows\System" pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como "C:\WinNT", "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP y Windows Server 2003).

Luego modifica el registro de Windows para ejecutar el gusano cada vez que se inicia una aplicación con extensión .EXE, .PIF, .HTA, .BAT, o .COM

HKLM\software\Classes\exefile\shell\open\command
(Predeterminado) = [un archivo del gusano al azar] "%1" %*

HKLM\software\Classes\comfile\shell\open\command
(Predeterminado) = [un archivo del gusano al azar] "%1" %*

HKLM\software\Classes\batfile\shell\open\command
(Predeterminado) = [un archivo del gusano al azar] "%1" %*

HKLM\software\Classes\htafile\shell\open\command
(Predeterminado) = [un archivo del gusano al azar] "%1" %*

HKLM\software\Classes\piffile\shell\open\command
(Predeterminado) = [un archivo del gusano al azar] "%1" %*

También modifica el registro para no mostrar las extensiones .EXE:

HKLM\software\Classes\exefile
NeverShowExt = ""

Además crea estas entradas para autoejecutarse en cada reinicio de Windows:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
System = [un archivo del gusano al azar]

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
System = [un archivo del gusano al azar]

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
System = [un archivo del gusano al azar]

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\1\2\3\4
System = [un archivo del gusano al azar]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
System = [un archivo del gusano al azar]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\1\2\3\4
System = [un archivo del gusano al azar]

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
System = [un archivo del gusano al azar]

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
System = [un archivo del gusano al azar]

Además, modifica los archivos WIN.INI, SYSTEM.INI y DOSTART.BAT

En WIN.INI agrega referencias al gusano en las claves "run=" y "load=" bajo la etiqueta [windows], además de un comentario político que no se muestra al usuario:

[windows]
load = c:\windows\archivo.exe
run = c:\windows\archivo.exe
####Viva el EVO, y jamas erradicaran la Coca Cola!!!
mentira colla maldito!! (PYN Pablo_Hack@hotmail.com)####

En SYSTEM.INI, bajo [boot], modifica la siguiente entrada:

[boot]
shell = explorer.exe temp.exe

En DOSSTART.BAT añade la siguiente línea:

c:\windows\Shell.exe

Sustituye el contenido de WININIT.INI por lo siguiente:

null=c:\windows\system.exe

Crea WINSTART.BAT con el siguiente contenido:

c:\windows\Shell.exe

El gusano muestra en forma continua 10 imágenes con la figura del político mencionado.

Los archivos (todos .JPG), son descargados desde los siguientes sitios y visualizados por el navegador:

http:/ /jeremybigwood.net
http:/ /news.bbc.co.uk
http:/ /www.commondreams.org
http:/ /www-ni.laprensa.com.ni
http:/ /www.soc.uu.se
http:/ /www.cannabisculture.com
http:/ /www.chilevive.cl
http:/ /membres.lycos.fr
http:/ /www.movimientos.org

Hay indicios de que intenta abrir el puerto 2536 en la computadora infectada. Sin embargo, no se ha detectado actividad alguna del gusano que involucre ese puerto en las pruebas realizadas.

El gusano tiene varios errores en su código. Por ejemplo, en el mensaje generado, configura incorrectamente el valor para "Content-type", mostrando el código HTML del propio mensaje al visualizarlo.

Intenta copiarse en una carpeta "\windows\menu inicio\", pero falla porque el nombre está mal escrito (es "\windows\menú inicio\").

Tambien falla al crear algunas claves en el registro (omite una letra "r" en las claves "RunSevices" y "RunSevicesOnce", que debería ser "RunServices" y "RunServicesOnce").

Además, menciona archivos que no crea en ningún momento como "commands.com", y "archivo.exe", éste último indicado en WIN.INI.

Por último, tampoco controla si ya se ha ejecutado antes, repitiendo las entradas en archivos como WIN.INI, etc.


Herramienta para quitar el W32/Colevo.A de un sistema infectado

Nod32
Descargue la utilidad "Clvclean.exe" (290 Kb) y ejecútela en su sistema:
http://www.nod32.it/tools/CLVCLEAN.ZIP
Copyright (c) 2003 Paolo Monti - Future Time S.r.l.


Reparación manual

Reparación especial (archivos asociados)

NOTA: Debido a las modificaciones hechas al registro se deben seguir los siguientes pasos para su correcta modificación.

1. Actualice sus antivirus con las últimas definiciones y descargue (por ejemplo en el escritorio de Windows) el archivo "exefile.reg" de nuestro sitio:

http://www.videosoft.net.uy/exefile.reg

Luego, reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

Haga doble clic sobre el archivo "exefile.reg" descargado anteriormente en su PC, y confirme las modificaciones a realizar.

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados


Borrado manual de los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos:

c:\recycled\evo morales.scr

c:\windows\all users.exe
c:\windows\command.exe
c:\windows\dosstart.bat
c:\windows\hot girl.scr
c:\windows\hotmailpass.exe
c:\windows\inf.exe
c:\windows\internet download[espacios vacíos].exe
c:\windows\internet file.exe
c:\windows\menu inicio\programas\inicio\www.microsoft.com
c:\windows\part hard disk.exe
c:\windows\shell.exe
c:\windows\system.exe
c:\windows\system32.exe
c:\windows\system64.pif
c:\windows\temp.exe
c:\windows\wininit.ini
c:\windows\winstart.bat

c:\windows\system\command.com
c:\windows\system\inf.exe
c:\windows\system\net.com
c:\windows\system\www.microsoft.com

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Borre también los mensajes electrónicos similares al descripto antes.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
\1

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

System = [un archivo del gusano al azar]

También borre la carpeta "1".

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices

5. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

System

6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
\1

7. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

System

También borre la carpeta "1".

8. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices

9. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

System

10. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServicesOnce

11. Pinche en la carpeta "RunServicesOnce" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

System

12. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServicesOnce

13. Pinche en la carpeta "RunServicesOnce" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

System

14. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Classes
\exefile

15. Pinche en la carpeta "exefile" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

NeverShowExt

16. Use "Registro", "Salir" para salir del editor y confirmar los cambios.


Editar el archivo WIN.INI y SYSTEM.INI

Nota: Cómo el gusano parece no examinar infecciones previas, estas líneas pueden reiterarse varias veces. Modifíquelas y bórrelas todas como se indica aquí, de modo que quede una sola etiqueta [windows], [boot], etc.

1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.

2. Busque lo siguiente:

[windows]
load = c:\windows\archivo.exe
run = c:\windows\archivo.exe
####Viva el EVO, y jamas erradicaran la Coca Cola!!!
mentira colla maldito!! (PYN Pablo_Hack@hotmail.com)####

Debe quedar como:

[windows]
load =
run =

3. Grabe los cambios y salga del bloc de notas.

4. Desde Inicio, Ejecutar, teclee SYSTEM.INI y pulse Enter.

5. Busque lo siguiente:

[boot]
shell = explorer.exe temp.exe

y déjelo así:

[boot]
shell = explorer.exe

6. Grabe los cambios y salga del bloc de notas

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Recuperar asociación con archivos .HTA

1. Seleccione Panel de control, Herramientas, Opciones de carpeta.

2. Seleccione la lengüeta "Tipos de archivos".

3. Busque la extensión "HTA".

4. Pinche en Cambiar, Otros, y busque en la carpeta System o System32 (C:\Windows o C:\WinNT), el archivo MSHTA.EXE.

5. Pinche en Aceptar, Aplicar y Cerrar.

6. Reinicie el sistema.


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm


Actualizaciones:

29/jun/03 - Alias: W32/Vivael.A, W32.Vivael@mm
29/jun/03 - Ampliación de la descripción
29/jun/03 - Alias: I-Worm.Colevo
29/jun/03 - Alias: W32/Colevo, W32/Meve
30/jun/03 - Alias: Win32/Meve.a@MM
30/jun/03 - Alias: Win32/Colevo.A
30/jun/03 - Ampliación de la descripción
30/jun/03 - Renombrado a W32/Colevo.A
30/jun/03 - Alias: WORM_COLEVO.A
01/jul/03 - Ampliación de la descripción
02/jul/03 - Herramienta de limpieza



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com