W32/Colevo-A es un gusano de correo que se envía a los contactos del Messenger del usuario infectado. El correo tiene las siguientes características:

Subject line: El fin se puede hackear a hotmail!!
Message text: Oye te paso el programa para entrar a cuentas del messenger. y facilingo te lo paso a voz nomas, prometeme que no se lo pasas a nadie, ya?
Respondeme que tal te parecio, chau
Attached file: hotmailpass.exe

W32/Colevo-A se copia a si mismo en los siguientes archivos:

<Windows>\command.exe
<Windows>\Hot Girl.scr
<Windows>\hotmailpass.exe
<Windows>\Inf.exe
<Windows>\Internet download .exe
<Windows>\Internet File.exe
<Windows>\Part Hard Disk.exe
<Windows>\Shell.exe
<Windows>\system.exe
<Windows>\System32.exe
<Windows>\System64.pif
<Windows>\Temp.exe
<Windows>\All User\Server.exe
<Windows>\system32\command.com
<Windows>\system32\net.com
<Windows>\system32\www.microsoft.com
<Windows>\system32\Inf.exe
<Windows>\menu inicio\programas\inicio\www.microsoft\com
<Recycled>\Evo Morales.scr

Colevo podrá hacer los siguientes cambios de registro:

HKCR\htafile\shell\open\command\(Default) = "C:\Windows\commands.exe", "%1 %*"
HKCR\exefile\shell\open\command\(Default) = "C:\Windows\command.exe", "%1 %*"
HKCR\comfile\shell\open\command\(Default) = "C:\Windows\Inf.exe", "%1 %*"
HKCR\batfile\shell\open\command\(Default) = "C:\Windows\temp.exe", "%1 %*"
HKCR\piffile\shell\open\command\(Default) = "C:\Windows\commands.exe", "%1 %*"
HKCR\exefile\NeverShowExt
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \System = C:\Windows\system.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \1\2\3\4\System = C:\Windows\temp.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\System = C:\Windows\commands.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \System = C:\Windows\system.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \1\2\3\4\System = C:\Windows\system.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\System = C:\Windows\temp.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run ServicesOnce\System = C:\Windows\system.exe

Las siguientes lineas serán agregadas al win.ini:

[windows]
load=archivo.exe
run=archivo.exe
####Viva el EVO, y jamas erradicaran la Coca Cola!!! mentira colla maldito!!
(PYN Pablo_Hack@hotmail.com)####

Las siguientes líneas serán agregadas al sistema .ini:

[boot]
Shell=explorer.exe temp.exe

El archivo winstart.bat será creado y contendrá la siguiente línea:

"null=c:\windows\system.exe".

Colevo corre en segundo plano como un servidor backdoor que le permite tener un acceso no autorizado a la computadora de la víctima.

El gusano continuamente abre el browser de los usuarios de la web en cualquiera de las siguientes páginas:

http://jeremybigwood.net/Bolivia/ima...ept.2K.000.jpg
http://news.bbc.co.uk/olmedia/775000...morales150.jpg
http://www.commondreams.org/headline.../100700-01.jpg
http://www.ni.laprensa.com.ni/archiv...0020709-01.jpg
http://www.soc.uu.se/mapuche/indgen/...inal020822.jpg
http://www.cannabisculture.com/libra...s-speaking.jpg
http://www.chilevive.cl/news/img/evom.jpg
http://membres.lycos.fr/asocamerlat/...s_bolivia2.gif
http://news.bbc.co.uk/media/images/3...olivia300b.jpg


No han escuchado la frase del gusano en algún chat??