26 marca 2002

I-Worm.Cosol - kradnie hasła

Jest to robak rozprzestrzeniający się poprzez Internet jako zainfekowany plik załączony do wiadomości e-mail. Robak ma postać pliki PE EXE o rozmiarze około 335 KB i został napisany w środowisku programistycznym Delphi. Szkodnik posiada procedurę backdoor i kradnie hasła.

Do zainfekowanych wiadomości załączony jest pliki EXE posiadający nazwę wybieraną losowo spośród poniższych możliwości:

cosol.exe, mirch.exe, myprog.exe, Anti.exe, projekt2.exe, eb.exe, Vis.exe, msn.exe, Buch.exe, Tach.exe

Treść wiadomości jest również wybierana losowo spośród następujących wariantów:

Heloo!!!
I send you this program
I think you like it

Hi!
This is my Cool program
run this program, you mast like

Have do you do!!!
I sent this program, special for you.
Take the atachment and run!!!

Wirus uaktywnia się z zainfekowanej wiadomości tylko wtedy, gdy użytkownik uruchomi załączony plik.

Instalacja

Podczas instalacji robak tworzy następujące pliki w katalogu Windows:

  • DC220.EXE - kopia robaka
  • BIOS.EXE - druga kopia robaka
  • CSOLP.EXE - komponent robaka

i dla dwóch z nich tworzy klucze auto-run w rejestrze systemowym:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
rundll = %WindowsDir%\DC220.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
rundll32 = %WindowsDir%\csolp.exe

Dodatkowo robak tworzy i uruchamia program "przynętę":

Program Files\Common Files\RASKR.EXE

Robak tworzy również podkatalogi w folderze Windows i zapisuje w nich pliki tymczasowe:

  • \sys\send\
  • \sys\mai\
  • \sys\em\

Backdoor

Procedura backdoor umożliwia zdalnemu użytkownikowi przejęcie kontroli nad zainfekowanym komputerem. Procedura pozwala na pobieranie informacji o dyskach i plikach, tworzenie, usuwanie, uruchamianie plików, wysyłanie plików z zainfekowanego komputera, wyszukiwanie plików zawierających hasła (włącznie z plikami systemu WebMoney files) i wysyłanie ich do zdalnego użytkownika:

  • *.kwm
  • *.mag
  • *.pwl
  • *.pwm
  • *Ž¨ŕĄŁ*.txt
  • *pass*.txt
  • *Ż ŕŽ"¨*.txt
  • *Ž¨ ॣ*.exl
  • *¨ŕĄŁ*.exl
  • *pass*.exl
  • *Ż ŕŽ"¨*.exl

Robak wyposażony jest również w procedurę szpiegującą, która zapisuje i wysyła do zdalnego użytkownika wszystkie pliki wpisywane z klawiatury zainfekowanego komputera.