SERVICIO ASISTENCIA TECNICA INFORMATICA
|
|
|
|
SERVICIO ASISTENCIA TECNICA INFORMATICA |
|||
| www.satinfo.es | |||
Gusano escrito en Bolivia que visualiza imágenes de Evo Morales
Llega por e-mail con asunto "El adelanto de matrix ta gueno?" o "Por fin se puede hackear a hotmail!!" , enviado por su propio SMTP.
Nombre de virus: W32/Colevo@MM
Alias conocidos: W32/EVOMO@mm, w32/VIVAEL@mm, W32/MEVE@mm,
Riesgo Infección: Medio
(Bajo, Medio, Alto, Muy Alto)
Propagación: A través
de envío de e-mail masivo adjuntando fichero infectado
Activación: Por
ejecución de fichero infectado HOTMAILPASS.EXE (puede variar)
Detección: desde DATS 4274
Motor necesario: desde 4.1.60
Infección actual: Inicial
(Inicial, Media, Elevada)
Un nuevo gusano controlado desde DATS 4274 como W32/Colevo@mm está empezando a propagarse masivamente por e-mail, habiendo llegado a usuarios en España.
Se propaga por e-mail, anexando fichero de nombre HOTMAILPASS.EXE (puede variar).
La ejecución del fichero infectado, crea en el directorio de Windows, los siguientes ficheros:
All Users.exe
command.exe
Hot Girl.scr
hotmailpass.exe
Inf.exe
Internet Download .exe
Internet File.exe
Part Hard Disk.exe
Shell.exe
system.exe
system32.exe
system64.pif
Temp.exe
en el directorio de sistema:
Inf.exe
net.com
www . microsoft . com <http://www.microsoft>
conecta con uno de los siguientes sites para descargar y visualizar imágenes del dirigente boliviano Evo Morales:
http://jeremybigwood.net
http://news.bbc.co.uk
http://www.commondreams.org/headlines/images/100700-01.jpg
http://www-ni.laprensa.com.ni
http://www.soc.uu.se
http://www.cannabisculture.com
http://www.chilevive.cl
http://membres.lycos.fr
http://news.bbc.co.uk
http://www.movimientos.org
Y envía mail masivo a todas las direcciones del messenger, con el siguiente formato:
Subject: El adelanto de matrix ta gueno? o: Al fin se puede hackear a hotmail!!
Body: Pablo_Hack
Oye te U paso el programa para entrar a cuentas del messenger, y facilingo te lo paso a voz nomas, prometeme que no se lo pasas a nadie, ya?Respondeme que tal te parecio. chau?
Datos adjuntos: hotmailpass.exe (puede variar)
COMPONENTE BACKDOOR (PUERTA TRASERA):
El virus también deja abiertos algunos puertos de comunicaciones como 1168, 1169, 1170 y 2536, permitiendo al hacker tomar el control del ordenador infectado
MODIFICACIÓN DE CLAVES EN EL REGISTRO DE SISTEMA:
HKEY_CLASSES_ROOT\exefile "NeverShowExt"=
(Oculta la extensión de los ficheros ejecutables)
HKEY_CLASSES_ROOT\batfile\shell\open\command
"(Default)" = "%WinDir%\temp.exe", "%1" %*
HKEY_CLASSES_ROOT\comfile\shell\open\command
"(Default)" = "%WinDir\Inf.exe", "%1" %*
HKEY_CLASSES_ROOT\exefile\shell\open\command
"(Default)" = "%WinDir%\command.exe", "%1" %*
HKEY_CLASSES_ROOT\htafile\Shell\Open\Command
"(Default)" = "%WinDir%"\commands.com", "%1" %*
HKEY_CLASSES_ROOT\piffile\shell\open\command
"(Default)" = "%WinDir%\commands.com", "%1" %*
Pero téngase en cuenta que el fichero COMMANDS.COM no es creado por la ejecución del gusano, por lo que algunas claves resultan redundantes.
En el fichero DOSSTART.BAT añade la siguiente entrada:
c:\windows\Shell.exe
Crea el fichero WINSTART.BAT con el siguiente contenido:
c:\windows\Shell.exe
El fichero SYSTEM.INI es modificado para cargar el gusano en el arranque:
[boot] "Shell" = explorer.exe temp.exe
Y en el WIN.INI borra la siguiente entrada:
[windows] "NullPort"
También crea el fichero WININIT.INI programado para borrar en el próximo reinicio, el fichero
C:\Windows\SYSTEM.EXE
El virus usa un icono idéntico al usado para carpetas de entorno de Windows, suprimiendo la visualización de la extensión, lo cual facilita la ejecución involuntaria del fichero infectado.
Detección y eliminación
Para eliminar el virus, y restaurar todas las claves y modificaciones víricas, hemos creado la utilidad ELICOLEA.SCR, que independientemente del antivirus, eliminará dicho virus de los ordenadores infectados.
Para todos los Sistemas Operativos:
Pulse aquí para descargar ELICOLEA.SCR
SATINFO, VIRUSCAN SPAIN SERVICE 1 de Julio de 2003
