ウイルス情報  製品紹介  無料ダウンロード  セキュリティBOX  サポート情報 
W32/Colevo@MM
 (コレボ)
種別 : インターネットワーム
危険度 : 低(要注意)
主な発病 : 大量メール送信
発見日時 : 2003年6月28日
McAfee.comウイルススキャンオンラインで検出・駆除可能

Colevoウイルスとは?
大量メール送信型ウイルスです。MSメッセンジャーのメンバーリストに登録されているすべてのメンバーにウイルスのコピーを送信します。感染すると、インターネットエクスプローラーを起動して以下のサイトに接続し、ボリビアのアイマラ族のリーダーEvo Moralesの画像を表示します。 

感染した場合の症状
パソコン内のアドレス帳に登録されているeメールアドレス宛てにウイルスメールが勝手に送信されます。
ボリビアのアイマラ族のリーダーEvo Moralesの画像を表示します。
ポートを開いて、外部からアクセスができるようにします。

対処方法
「McAfee.com ウイルススキャンオンライン」は、すでにこのウイルスに対応済みです。アップデートがお済みでない方は、すみやかにアップデートしてください。
    【アップデート方法】
  1. 画面右下にあるタスクトレイのアイコンをダブルクリックし、「McAfee.com セキュリティ・センター」を起動します。
  2. 画面上の[アップデート]ボタンをクリックします。
  3. 次の画面の[今すぐ確認する]をクリックします。
  4. アップデートがお済みでない場合は、アップデートを開始する画面が表示されます。画面の指示に従ってアップデート操作を行なってください。アップデートがお済みの場合には「ご使用のMcAfee.com製品は、すべて最新です」と表示されます。
    ※スキャンエンジン4.1.60以上、ウイルス定義ファイル4.0.4274以上でこのウイルスに対応します。

ウイルス詳細情報
このウイルスは、インターネットエクスプローラーを起動し、以下のようなサイトに接続して、ボリビアのアイマラ族のリーダーEvo Moralesの画像を表示します。

http://jeremybigwood.net
http://news.bbc.co.uk
http://www.commondreams.org/headlines/images/100700-01.jpg
http://www-ni.laprensa.com.ni
http://www.soc.uu.se
http://www.cannabisculture.com
http://www.chilevive.cl
http://membres.lycos.fr
http://news.bbc.co.uk
http://www.movimientos.org

 
Windowsフォルダに以下のようなファイル名でウイルスのコピーを作成します。

All Users.exe
command.exe
Hot Girl.scr
hotmailpass.exe
Inf.exe
Internet Download.exe
Internet File.exe
Part Hard Disk.exe
Shell.exe
system.exe
system32.exe
system64.pif
Temp.exe

(Windowsフォルダ: C:\WINDOWS または C:\WINNT)

 
システムフォルダに以下のファイル名でウイルスのコピーを作成します。

Inf.exe
net.com
www.microsoft.com

(システムフォルダ: C:\WINDOWS\SYSTEM32 または C:\WINNT\SYSTEM32)

 
大量メール送信

ウイルスに含まれている文字列によって、ホットメールのSMTPサーバに接続し、MSNメッセンジャーのキャッシュ内にある接続先にウイルスのコピーが送信されます。 eメールの特徴は以下の通りです。

件名: El adelanto de matrix ta gueno!!

本文:
Pablo_Hack
Oye te U paso el programa para entrar a cuentas del messenger, y facilingo te lo paso a voz nomas, prometeme que no se lo pasas a nadie, ya?Respondeme que tal te parecio. chau?

添付ファイル名: hotmailpass.exe

 
バックドアコンポーネント

ハッカーがリモートでマシンを操作できるように、感染マシンのいくつかのTCPポートを開けたままにしておきます。開かれるポート番号として、1168, 1169, 1170, 2536が確認されています。

 
上記ファイルがWindows起動時にウイルス自身をロードするために、以下のレジストリキーが作成されます。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "System"=%WinDir%\system.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\1\2\3\4 "System"=%WinDir%\system.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ RunSevices "System"=%WinDir%\system.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunSevicesOnce "System"=%WinDir%\temp.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "System"=%WinDir%\system.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\1\2\3\4 "System"=%WinDir%\temp.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunSevices "System"=%WinDir%\commands.com

 
関連するファイルが解凍されたときには常に実行されるようにするために、以下のレジストリキーを修正します。

HHKEY_CLASSES_ROOT\exefile "NeverShowExt"=(Hides the file extension of executables)
HKEY_CLASSES_ROOT\batfile\shell\open\command "(Default)" = "%WinDir%\temp.exe", "%1" %*
HKEY_CLASSES_ROOT\comfile\shell\open\command"(Default)" = "%WinDir\Inf.exe", "%1" %*
HKEY_CLASSES_ROOT\exefile\shell\open\command"(Default)" = "%WinDir%\command.exe", "%1" %*
HKEY_CLASSES_ROOT\htafile\Shell\Open\Command"(Default)" = "%WinDir%"\commands.com", "%1" %*
HKEY_CLASSES_ROOT\piffile\shell\open\command"(Default)" = "%WinDir%\commands.com", "%1" %*

 
system.iniファイルがシステム起動時にウイルスをロードするよう、修正されます。

[boot] "Shell" = explorer.exe temp.exe

 
win.ini ファイルに以下のキーが追加されます。

[windows] "load" =archivo.exe
[windows] "run"= archivo.exe

 
以下のキーが削除されます。

[windows] "NullPort"

 
WIN.INI ファイルに以下のコメントが挿入されます。

・####Viva el EVO, y jamas erradicaran la Coca Cola!!! mentira colla maldito!! (PYN Pablo_Hack@hotmail.com)####

 


Copyright (C) SOURCENEXT CORPORATION All Rights Reserved.