W32/Colevo (alias Meve, Vivael)

Die Mails, in denen der Colevo-Wurm eintrifft, haben folgende Kennzeichen:

Betreff: El adelanto de matrix ta gueno
Text: Pablo_Hack
Oye te U paso el programa para entrar a cuentas del messenger, y facilingo te lo paso a voz nomas, prometeme que no se lo pasas a nadie, ya?Respondeme que tal te parecio. chau
Beilage: hotmailpass.exe

Wird die Mailbeilage durch einen unvorsichtigen Benutzer ausgeführt, installiert sich der Wurm wie folgt auf dem PC:

Im Windows-Ordner legt er diverse Dateien ab:
All Users.exe
command.exe
Hot Girl.scr
hotmailpass.exe
Inf.exe
Internet Download (ev. mit einigen Leerzeichen).exe
Internet File.exe
Part Hard Disk.exe
Shell.exe
system.exe
system32.exe
system64.pif
Temp.exe

Und diese im Windows-System-Ordner:
Inf.exe
net.com
www.microsoft.com

Und natürlich vergreift sich Colevo auch an der Windows-Registry und an weiteren Systemdateien, in denen er zahlreiche Einträge erstellt bzw. ändert. Gemäss Symantec [1] sind das diese:

In diesen beiden Registry-Zweigen:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Fügt er den Eintrag hinzu: "System"="c:\windows\system.exe"

In diesen beiden Registry-Zweigen:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
Fügt er den Eintrag hinzu: "System"="c:\windows\commands.com"

In diesen beiden Registry-Zweigen:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
Fügt er den Eintrag hinzu: "System"="c:\windows\temp.exe"

Er erstellt die Registry-Unterzweige 1\2\3\4 wie folgt in diesen beiden Registry-Zweigen:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\1\2\3\4
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\1\2\3\4
Dort fügt er jeweils den Eintrag hinzu: "System"="c:\windows\system.exe"

In diesem Registry-Zweig:
HKEY_LOCAL_MACHINE\Software\Classes\exefile
Fügt er den Eintrag hinzu: "NeverShowExt"="(leer)"

In diesem Registry-Zweig:
HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command
Ändert er den Standard-Eintrag von ursprünglich ""%1" %*" zu neu:
"@=""c:\windows\command.exe","%1"%*""

In diesem Registry-Zweig:
HKEY_LOCAL_MACHINE\Software\Classes\comfile\shell\open\command
Ändert er den Standard-Eintrag von ursprünglich ""%1" %*" zu neu:
"@=""c:\windows\inf.exe","%1"%*""

In diesem Registry-Zweig:
HKEY_LOCAL_MACHINE\Software\Classes\batfile\shell\open\command
Ändert er den Standard-Eintrag von ursprünglich ""%1" %*" zu neu:
"@=""c:\windows\temp.exe","%1"%*""

In diesem Registry-Zweig:
HKEY_LOCAL_MACHINE\Software\Classes\piffile\shell\open\command
Ändert er den Standard-Eintrag von ursprünglich ""%1" %*" zu neu:
"@=""c:\windows\commands.com","%1"%*""

In diesem Registry-Zweig:
HKEY_LOCAL_MACHINE\Software\Classes\htafile\shell\open\command
Ändert er den Standard-Eintrag von ursprünglich ""%1" %*" zu neu:
"@=""c:\windows\commands.com","%1"%*""

Abgesehen davon ändert er auch weitere Systemdateien.

Da wäre die Datei WIN.INI, in die er einen Eintrag wie diesen erstellt:
[windows]
load=archivo.exe
run=archivo.exe
####Viva el EVO, y jamas erradicaran la Coca Cola!!! mentira colla maldito!! (PYN Pablo_Hack@hotmail.com)####

Die Datei System.ini, in welcher er diesen Eintrag erstellt:

[boot]
Shell=explorer.exe temp.exe

Die Datei C:\Windows\Wininit.ini, die er mit folgender Zeile überschreibt:
"null=c:\windows\system.exe"

Bisweilen erstellt er auch eine Datei C:\Windows\Winstart.bat, mit folgender Zeile:
"c:\windows\Shell.exe"

Ist der MSN Messenger installiert, mailt sich der Colevo-Wurm automatisch in einer wie eingangs beschriebenen Mail an alle Adressen, die er im Messenger-Cache findet.

Der Wurm installiert im infizierten PC auch eine Hintertüre, die verschiedene TCP-Ports öffnet. Dies könnte einem Angreifer den Fernzugang zum PC ermöglichen. Offenbar werden vom diesem Backdoor-Programm oft die Ports 1168, 1169, 1170 und 2536 verwendet.

Vermutlich, um von seinem Treiben abzulenken oder eine politische Botschaft als Grund für sein Tun vorzuschieben, zeigt der Wurm automatisch eine oder mehrere Webseiten an, die teilweise mit dem bolivianischen Politiker Evo Morales zu tun haben.

Um Colevo zu beseitigen, müssen Sie sämtliche Einträge entfernen bzw. zurücksetzen, die der Wurm erstellt oder geändert hat. Weil beim Ausführen des Registry-Editors der Wurm wieder gestartet wird, müssen Sie die Datei Regedit.exe nach Regedit.scr kopieren.

Gehen Sie zu "Start/Ausführen", tippen Sie COMMAND ein und drücken Sie Enter.

Jetzt hängt es ein wenig von Ihrer Windows-Version ab, was Sie als nächstes eingeben müssen:

Unter Windows 95/98/ME tippen Sie:
copy regedit.exe regedit.scr (und die Enter-Taste)

Unter Windows NT/2000 tippen Sie:
cd \winnt (und die Enter-Taste)
copy regedit.exe regedit.scr (und die Enter-Taste)

Unter Windows XP tippen Sie:
cd\ (und die Enter-Taste)
cd \windows (und die Enter-Taste)
copy regedit.exe regedit.scr (und die Enter-Taste)

Nun führen Sie die Kopie des Registry-Editors aus, indem Sie das Folgende eintippen:
start regedit.scr (und die Enter-Taste)

Jetzt startet der Registry-Editor und Sie können mit der gebotenen Vorsicht die oben erwähnten Registry-Einträge entfernen bzw. zurück ändern. Schliessen Sie das DOS-Fenster erst, wenn Sie mit den Registry-Reparaturen fertig sind.

Aktualisieren Sie jetzt Ihren Virenscanner und stellen Sie ihn so ein, dass er alle Dateien scannt. Prüfen Sie damit die Festplatte und lassen Sie alle gefundenen Colevo-Wurm-Dateien entfernen.

Symantec kennt den Wurm unter dem Namen Vivael, Sophos [2] und NAI (McAfee) [3] nennen ihn Colevo und bei Panda ist er als Meve bekannt [4].