Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Cosol. Gusano y espía
 
VSantivirus No. 627 - Año 6 - Martes 26 de marzo de 2002

W32/Cosol. Gusano y espía
http://www.vsantivirus.com/cosol.htm

Nombre: W32/Cosol
Tipo: Gusano de Internet, Caballo de Troya de acceso remoto
Alias: I-Worm.Cosol
Fuente: Kaspersky
Tamaño: 355 Kb (comprimido con UPX), 675 Kb (sin comprimir)

Este gusano se propaga como adjunto a un correo electrónico. El gusano posee características de troyano de acceso remoto (backdoor) y espía.

Consiste en un ejecutable de Windows PE, comprimido con la utilidad UPX, y escrita en Delphi.

El mensaje contiene un adjunto infectado (el gusano en si mismo), el cuál toma uno de los nombres seleccionado al azar de la siguiente lista:

cosol.exe
mirch.exe
myprog.exe
Anti.exe
projekt2.exe
eb.exe
Vis.exe
msn.exe
Buch.exe
Tach.exe

El texto del mensaje a su vez, es seleccionado al azar de una de estas tres variantes:

Heloo!!!
I send you this program
I think you like it

Hi!
This is my Cool program
run this program, you mast like

Have do you do!!!
I sent this program, special for you.
Take the atachment and run!!!

El gusano se activa solo si el usuario abre el adjunto con un doble clic sobre él. Cuando ello ocurre, el gusano se instala en el sistema y ejecuta sus rutinas de propagación, backdoor y espía de teclado.

Al instalarse, el gusano crea los siguientes archivos:

DC220.EXE - una copia del gusano
BIOS.EXE - otra copia del gusano
CSOLP.EXE - componente del gusano

Modifica el registro, para posibilitar su autoejecución en futuros reinicios de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
rundll = C:\Windows\DC220.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
rundll32 = C:\Windows\csolp.exe

El gusano crea y ejecuta además, un programa que solo sirve de señuelo:

C:\Program Files\Common Files\RASKR.EXE

También crea varios subdirectorios en la carpeta de Windows, y escribe allí sus propios archivos temporales:

C:\Windows\sys\send\
C:\Windows\sys\mai\
C:\Windows\sys\em\

Por su parte el componente backdoor liberado por el gusano, permite a un atacante remoto controlar la máquina infectada. Puede reportar información de discos, archivos, contraseñas, etc. También permite crear, borrar y ejecutar archivos en forma remota.

Además, envía al atacante los archivos que coincidan con los siguientes comodines:

*.kwm
*.mag
*.pwl
*.pwm
*®¨à¥£*.txt
*pass*.txt
*¯ ஫¨*.txt
*®¨ ॣ*.exl
*®¨à¥£*.exl
*pass*.exl
*¯ ஫¨*.exl

Por ejemplo, todos los archivos con extensión .KVM, .PWL, etc., pueden ser transmitidos al atacante.

La rutina llamada "key-spy", permite registrar todo lo tecleado por la víctima en su propio PC, y luego estos datos pueden ser enviados al atacante.

Reparación manual

Para borrar manualmente el gusano, primero que nada, asegúrese de actualizar sus antivirus con las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.

3. Borre los archivos detectados como W32/Cosol

5. Con el Explorador de Windows, borre los siguientes archivos (si aparecen):

Dc220.Exe
Bios.Exe
Csolp.Exe

6. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

7. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices

8. Pinche en la carpeta "RunServices" y en el panel de la derecha busque y borre la siguiente entrada:

rundll         "C:\Windows\DC220.exe"

9. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunOnce

10. Pinche en la carpeta "RunOnce" y en el panel de la derecha busque y borre la siguiente entrada:

rundll32         "C:\Windows\csolp.exe"

11. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

10. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Limpieza de virus en Windows Me y XP


Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Glosario:


ARCHIVOS PE (Portable Executable). Este formato de archivos ejecutables de Windows, recibe el nombre de "portátil" porque puede ser compartido por todos los sistemas operativos de 32 bits. El mismo archivo puede ejecutarse en cualquier versión de Windows 95, 98, Me, NT, y 2000. Todos los archivos de formato PE son ejecutables (las extensiones más conocidas son .EXE, .DLL, .OCX, .SCR y .CPL), pero no todos los ejecutables son portátiles.


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS