VSantivirus No. 1089 Año 7, Martes 1 de julio de 2003
W32/Colevo.A. Gusano boliviano, muestra a Evo Morales
http://www.vsantivirus.com/colevo-a.htm
Nombre: W32/Colevo.A
Tipo: Gusano de Internet
Alias: W32/Evomo.A, W32/Evomo@MM, W32/Vivael.A, W32.Vivael@mm, I-Worm.Colevo, W32/Colevo, W32/Meve, Win32/Meve.a@MM, Win32/Colevo.A,
WORM_COLEVO.A
Tamaño: 188,928 bytes
Plataforma: Windows 32-bit
Fecha: 27/jun/03
Fuente: HackSoft S.R.L. Lima-Perú
[Descripción basada en la proporcionada por HackSoft
http://www.hacksoft.com.pe/]
Gusano de origen boliviano que se propaga a través del correo electrónico, a todos los contactos de .NET Messenger, en un adjunto de nombre "Hotmailpass.Exe".
Cómo es costumbre, cada fabricante le ha dado un nombre diferente, siendo "Colevo" el más común hasta el momento.
Detectado por primera vez por HackSoft, fue descripto al
comienzo como W32/Evomo.A (VSA 1086).
El gusano, escrito en Delphi, y comprimido con la herramienta ASPACK, cuando se ejecuta muestra varias imágenes del político de dicho país (Bolivia), Evo Morales.
NOTA: Evo Morales Ayma, fue candidato en
las últimas elecciones presidenciales y es el líder de la federación de los productores de la hoja de coca
y símbolo de la lucha contra la política neoliberal en Bolivia.
Este gusano posee su propia máquina SMTP, por lo que no depende de ningún cliente de correo electrónico
instalado para enviarse.
Los mensajes pueden presentar algunas de estas características:
Ejemplo 1:
De: [usuario afectado]
Asunto: Al fin se puede hackear a hotmail!!
Datos adjuntos: hotmailpass.exe (puede variar)
Ejemplo 2:
De: [usuario afectado]
Asunto: El adelanto de matrix ta gueno
Datos adjuntos: hotmailpass.exe
Texto del mensaje:
Oye te ? paso el programa para entrar a cuentas
del messenger Z y facilingo te lo paso a voz nomas,
prometeme que no se lo pasas a nadie, ya? u
Respondeme que tal te parecio. chau
Cuando el usuario abre el adjunto, el gusano se ejecuta, creando los siguientes archivos:
c:\windows\All Users.exe
c:\windows\command.exe
c:\windows\system.exe
c:\windows\Hot Girl.scr
c:\windows\Inf.exe
c:\windows\Temp.exe
c:\windows\Internet download[espacios vacíos].exe
c:\windows\Shell.exe
c:\windows\System32.exe
c:\windows\System64.pif
c:\windows\Internet File.exe
c:\windows\Part Hard Disk.exe
c:\windows\hotmailpass.exe
c:\windows\system\command.com
c:\windows\system\net.com
c:\windows\system\www.microsoft.com
c:\windows\system\Inf.exe
c:\windows\All User\Server.exe
c:\windows\menu inicio\programas\inicio\www.microsoft.com
c:\recycled\Evo Morales.scr
NOTA: En todos los casos, "C:\Windows" y "C:\Windows\System" pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como "C:\WinNT", "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP y Windows Server 2003).
Luego modifica el registro de Windows para ejecutar el gusano cada vez que se inicia una aplicación con extensión .EXE, .PIF, .HTA, .BAT, o .COM
HKLM\software\Classes\exefile\shell\open\command
(Predeterminado) = [un archivo del gusano al azar] "%1" %*
HKLM\software\Classes\comfile\shell\open\command
(Predeterminado) = [un archivo del gusano al azar] "%1" %*
HKLM\software\Classes\batfile\shell\open\command
(Predeterminado) = [un archivo del gusano al azar] "%1" %*
HKLM\software\Classes\htafile\shell\open\command
(Predeterminado) = [un archivo del gusano al azar] "%1" %*
HKLM\software\Classes\piffile\shell\open\command
(Predeterminado) = [un archivo del gusano al azar] "%1" %*
También modifica el registro para no mostrar las extensiones .EXE:
HKLM\software\Classes\exefile
NeverShowExt = ""
Además crea estas entradas para autoejecutarse en cada reinicio de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
System = [un archivo del gusano al azar]
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
System = [un archivo del gusano al azar]
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
System = [un archivo del gusano al azar]
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\1\2\3\4
System = [un archivo del gusano al azar]
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
System = [un archivo del gusano al azar]
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\1\2\3\4
System = [un archivo del gusano al azar]
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
System = [un archivo del gusano al azar]
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
System = [un archivo del gusano al azar]
Además, modifica los archivos WIN.INI, SYSTEM.INI y DOSTART.BAT
En WIN.INI agrega referencias al gusano en las claves "run=" y "load=" bajo la etiqueta [windows], además de un comentario político que no se muestra al usuario:
[windows]
load = c:\windows\archivo.exe
run = c:\windows\archivo.exe
####Viva el EVO, y jamas erradicaran la Coca Cola!!!
mentira colla maldito!! (PYN Pablo_Hack@hotmail.com)####
En SYSTEM.INI, bajo [boot], modifica la siguiente entrada:
[boot]
shell = explorer.exe temp.exe
En DOSSTART.BAT añade la siguiente línea:
c:\windows\Shell.exe
Sustituye el contenido de WININIT.INI por lo siguiente:
null=c:\windows\system.exe
Crea WINSTART.BAT con el siguiente contenido:
c:\windows\Shell.exe
El gusano muestra en forma continua 10 imágenes con la figura del político mencionado.
Los archivos (todos .JPG), son descargados desde los siguientes
sitios y visualizados por el navegador:
http:/ /jeremybigwood.net
http:/ /news.bbc.co.uk
http:/ /www.commondreams.org
http:/ /www-ni.laprensa.com.ni
http:/ /www.soc.uu.se
http:/ /www.cannabisculture.com
http:/ /www.chilevive.cl
http:/ /membres.lycos.fr
http:/ /www.movimientos.org
Hay indicios de que intenta abrir el puerto 2536 en la computadora infectada. Sin embargo, no se ha detectado actividad alguna del gusano que involucre ese puerto en las pruebas realizadas.
El gusano tiene varios errores en su código. Por ejemplo, en el mensaje generado, configura incorrectamente el valor para
"Content-type", mostrando el código HTML del propio mensaje al visualizarlo.
Intenta copiarse en una carpeta "\windows\menu inicio\", pero falla porque el nombre está mal escrito (es "\windows\menú inicio\").
Tambien falla al crear algunas claves en el registro (omite
una letra "r" en las claves "RunSevices" y "RunSevicesOnce",
que debería ser "RunServices" y "RunServicesOnce").
Además, menciona archivos que no crea en ningún momento como
"commands.com", y "archivo.exe", éste
último indicado en WIN.INI.
Por último, tampoco controla si ya se ha ejecutado
antes, repitiendo las entradas en archivos como WIN.INI, etc.
Herramienta para quitar el W32/Colevo.A de un sistema infectado
Nod32
Descargue la utilidad "Clvclean.exe" (290 Kb) y ejecútela en su sistema:
http://www.nod32.it/tools/CLVCLEAN.ZIP
Copyright (c) 2003 Paolo Monti - Future Time S.r.l.
Reparación manual
Reparación especial (archivos asociados)
NOTA: Debido a las modificaciones hechas al registro se deben seguir los siguientes pasos para su correcta modificación.
1. Actualice sus antivirus con las últimas definiciones y descargue (por ejemplo en el escritorio de Windows) el archivo "exefile.reg" de nuestro sitio:
http://www.videosoft.net.uy/exefile.reg
Luego, reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
Haga doble clic sobre el archivo "exefile.reg" descargado anteriormente en su PC, y confirme las modificaciones a realizar.
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros
3. Borre los archivos detectados como infectados
Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los siguientes archivos:
c:\recycled\evo morales.scr
c:\windows\all users.exe
c:\windows\command.exe
c:\windows\dosstart.bat
c:\windows\hot girl.scr
c:\windows\hotmailpass.exe
c:\windows\inf.exe
c:\windows\internet download[espacios vacíos].exe
c:\windows\internet file.exe
c:\windows\menu inicio\programas\inicio\www.microsoft.com
c:\windows\part hard disk.exe
c:\windows\shell.exe
c:\windows\system.exe
c:\windows\system32.exe
c:\windows\system64.pif
c:\windows\temp.exe
c:\windows\wininit.ini
c:\windows\winstart.bat
c:\windows\system\command.com
c:\windows\system\inf.exe
c:\windows\system\net.com
c:\windows\system\www.microsoft.com
Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Borre también los mensajes electrónicos similares al descripto antes.
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
\1
3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
System = [un archivo del gusano al azar]
También borre la carpeta "1".
4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
5. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
System
6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
\1
7. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
System
También borre la carpeta "1".
8. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
9. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
System
10. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServicesOnce
11. Pinche en la carpeta "RunServicesOnce" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
System
12. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServicesOnce
13. Pinche en la carpeta "RunServicesOnce" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
System
14. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Classes
\exefile
15. Pinche en la carpeta "exefile" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
NeverShowExt
16. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
Editar el archivo WIN.INI y SYSTEM.INI
Nota: Cómo el gusano parece no examinar
infecciones previas, estas líneas pueden reiterarse varias
veces. Modifíquelas y bórrelas todas como se indica aquí,
de modo que quede una sola etiqueta [windows], [boot], etc.
1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.
2. Busque lo siguiente:
[windows]
load = c:\windows\archivo.exe
run = c:\windows\archivo.exe
####Viva el EVO, y jamas erradicaran la Coca Cola!!!
mentira colla maldito!! (PYN Pablo_Hack@hotmail.com)####
Debe quedar como:
[windows]
load =
run =
3. Grabe los cambios y salga del bloc de notas.
4. Desde Inicio, Ejecutar, teclee SYSTEM.INI y pulse Enter.
5. Busque lo siguiente:
[boot]
shell = explorer.exe temp.exe
y déjelo así:
[boot]
shell = explorer.exe
6. Grabe los cambios y salga del bloc de notas
7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Recuperar asociación con archivos .HTA
1. Seleccione Panel de control, Herramientas, Opciones de carpeta.
2. Seleccione la lengüeta "Tipos de archivos".
3. Busque la extensión "HTA".
4. Pinche en Cambiar, Otros, y busque en la carpeta System o System32 (C:\Windows o C:\WinNT), el archivo MSHTA.EXE.
5. Pinche en Aceptar, Aplicar y Cerrar.
6. Reinicie el sistema.
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
Actualizaciones:
29/jun/03 - Alias: W32/Vivael.A, W32.Vivael@mm
29/jun/03 - Ampliación de la descripción
29/jun/03 - Alias: I-Worm.Colevo
29/jun/03 - Alias: W32/Colevo, W32/Meve
30/jun/03 - Alias: Win32/Meve.a@MM
30/jun/03 - Alias: Win32/Colevo.A
30/jun/03 - Ampliación de la descripción
30/jun/03 - Renombrado a W32/Colevo.A
30/jun/03 - Alias: WORM_COLEVO.A
01/jul/03 -
Ampliación de la descripción
02/jul/03 - Herramienta de limpieza
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|