Colevo

COLEVO, gusano de Correo se conecta a sitios web donde se muestran fotos del líder boliviano Evo Morales.

W32/Colevo@mm, W32.Vivael@mm, I.worm.Colevo@mm

COLEVO es un gusano de origen boliviano, reportado el 1o de Junio del 2003, de propagación masiva, a través de mensajes de correo en español con un archivo anexado de nombre hotmail.pass. Abre los puertos TCP 1168, 1169, 1170 y 2536, pero no ejecuta ninguna acción de Backdoor, por sí mismo.

Este gusano evidencia varios errores de programación, sin embargo cumple con sus cometidos principales, los cuales son propagarse masivamente por correo y conectarse a sitios web donde se muestran muchas fotos del líder "cocalero" boliviano Evo Morales.

Usa su propio servidor SMTP (Simple Mail Transfer Protocol) y se auto-envía a la lista de contactos de MSN Messenger.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Borland Delphi, con una extensión de 184.5 KB y comprimido con el utilitario ASPack:

http://www.aspack.com

El mensaje de correo tiene estas características:

Al ejecutar el archivo anexado, el gusano se auto-copia a las siguientes rutas con los nombres:

%Windir%\All Users.exe
%Windir%\Command.exe
%Windir%\Hot Girl.scr
%Windir%\Hotmailpass.exe
%Windir%\Inf.exe
%Windir%\Internet File.exe
%Windir%\Internet download.exe
%Windir%\Part Hard Disk.exe
%Windir%\Shell.exe
%Windir%\System.exe
%Windir%\System32.exe
%Windir%\System64.pif
%Windir%\Temp.exe
%System%\Command.com
%System%\Inf.exe
%System%\Net.com
%System%\www.microsoft.com
%Windir%\All User\Server.exe
%Windir%\Menu Inicio\Programas\Inicio\www.microsoft.com
C:\Recycled\Evo Morales.scr

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Para auto-ejecutarse al re-inicio del sistema y en otras instancias crea las siguientes llave de registro:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"System" = "%Windir%\system.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\1\2\3\4]
"System" = "%Windir%\system.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]
"System" = "%Windir%\system.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
"System" = "%Windir%\temp.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"System" = "%Windir%\system.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\1\2\3\4]
"System" = "%Windir%\temp.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"System" =%Windir%\commands.com"

Del mismo modo el gusano modifica las siguientes llaves con el propósito de ejecutarse cada vez que un archivo asociada es activado:

[HKEY_CLASSES_ROOT\exefile]
"NeverShowExt" = ""

[HKEY_CLASSES_ROOT\batfile\shell\open\command]
"default" = "%WinDir%\temp.exe "%1" %*"

[HKEY_CLASSES_ROOT\comfile\shell\open\command]
"default" = "%Windir%\Inf.exe "%1" %*"

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
"default" = "%Windir%\command.exe "%1" %*"

[HKEY_CLASSES_ROOT\htafile\Shell\Open\Command]
"default" = "%Windir%"\commands.com "%1" %*"

[HKEY_CLASSES_ROOT\piffile\shell\open\command]
"default" = "%Windir%\commands.com "%1" %*"

Debido a errores de programación varias de estas llaves son repetitivas y no ejecutan ninguna acción. Igualmente el archivo COMMANDS.COM no es copiado al sistema ya que el autor escribió la letra "S" por error.

El gusano modifica el archivo WIN.INI para activarse al reiniciarse en Windows 95/98/Me:

WIN.INI
[windows]
load = archivo.exe
run = archivo.exe
####Viva el EVO, y jamas erradicaran la Coca Cola!!! mentira colla maldito!! Pablo_Hack@hotmail.com)####

Igualmente lo hace con el SYSTEM.INI:

SYSTEM.INI
[windows]
shell = explorer.exe temp.exe

Sobre-escribe el archivo WININIT.INI con la siguiente línea

null=C:\Windows\system.exe

Estas llaves tienen instrucciones sin ningún mecanismo de control y son agregadas en forma repetida. Asimismo el gusano borra las siguiente llave:

[windows] "NullPort"

El gusano se conecta a las siguientes direcciones donde se muestran varias fotos de Evo Morales.

http://jeremybigwood.net/Bolivia/images/Bolivia.Sept.2K.000.jpg
http://news.bbc.co.uk/olmedia/775000/images/_778100_morales150.jpg
http://www.commondreams.org/headlines/images/100700-01.jpg
http://www-ni.laprensa.com.ni/archivo/2002/julio/09/elmundo/elmundo-20020709-01.jpg
http://www.soc.uu.se/mapuche/indgen/puntofinal020822.jpg
http://www.cannabisculture.com/library/images/uploads/2409-Evo-morales-speaking.jpg
http://www.chilevive.cl/news/img/evom.jpg
http://membres.lycos.fr/asocamerlat/evo%20morales_bolivia2.gif
http://news.bbc.co.uk/media/images/38128000/jpg/_38128025_020710bolivia300b.jpg
http://www.movimientos.org/noalca/noticias/fotos/AB_0_039.jpg

Los archivo .JPG no se encuentran infectados.

Finalmente abre los puertos TCP 1168, 1169, 1170 y 2536 para permitir que un troyano/backdoor pueda ingresar a los sistemas infectados, sin embargo este gusano no ejecuta ninguna acción por sí mismo.

Sus payloads son los siguientes:

Se propaga masivamente en mensajes de correo, con un mensaje en español alusivo al líder "cocalero" boliviano Evo Morales, haciendo uso de la Libreta de Contactos de MSN Messenger.
Debido a errores de programación crea varias llaves de registro, varias de las cuales son repetitivas y no ejecutan ninguna acción.
El gusano intenta conectarse a diversos sitios web donde muestra imágenes de Evo Morales.
Abre los puertos 1168, 1169, 1170 y 2536 pero no ejecuta ninguna acción de Backdoor, por sí mismo.

PER ANTIVIRUS® versión 8.1 con registro de virus al 1o de Julio del 2003 detecta y elimina eficientemente este gusano.