Backdoor.Celofot, originating from Turkey


Most of the viruses we know and that are sent by email have an English subject and content. Today MX lab intercepted two viruses originating from Turkey with country specific content. When we inspected these message further we did notice that they are not entirely harmless.

Message content one:

      HABERTURK OLARAK , YILIN İLK HABER BOMBASINI YİNE HABER TÜRK FARKIYLA VE BELGELERİYLE AÇIKLIYORUZ,  ERGENEKON DAVASINDA GÖZ ALTI  VE TUTUKLANMA SIRASI DENİZ BAYKAL VE MESUT YILMAZ’DA ,SAVCI ZEKERİYA ÖZ’ ÜN  ELİNDEKİ MUTHİŞ GÖRÜNTÜLERİ İLK KEZ HABERTURK  OLARAK YAYIN YASAĞI OLMASI NEDENİYLE İNTERNET ÜZERİNDEN HABERTÜRK FARKIYLA YAYINLIYORUZ,, GÖRÜNTÜLERDE DENİZ BAYKALIN ABDULLAH ÇATLI İLE OLAN GÖRÜNTÜLERİ  ,MESUT YILMAZIN YEŞİL ‘İ  BAŞBAKANLIKTA AĞIRLAMASI VE KULAKLARINIZA  İNANAMAYACAĞINIZ DİYALOGLAR VAR, HÜKÜMETİN BU GÖRÜNTÜLERİ   ŞEÇİMLERE YAKIN  BİR TARİHTE  AÇIKLAYARAK  ,DENİZ BAYKALI VE MESUT YILMAZI TUTUKLAMAYI DÜŞÜNDÜĞÜ BU TÜRKİYE’Yİ SARSACAK BU GÖRÜNTÜLERİ  HABERTÜRK FARKIYLA İNTERNET ÜZERİNDEN YAYINLIYORUZ.

     HABERTÜRK.COM-   TARTIŞMASIZ TÜRKİYE’NİN EN BÜYÜK İNTERNET GAZETESİ  

And the second one:

  KAMU İHALE KURUMUMUZUN  1 MART   2009 – 15  2009 TARİHLERİ ARASINDA YAPACAK OLDUĞU KAMU İHALELERİ VE İHALE ŞARTNAMELERİ EKTE GÖNDERİLMİŞTİR, BİLGİLERİNİZE.

Both messages have the ZIP attached with the name ihalebulten.kamuihalekurumu.zip. Unpacked the file ihalebulten.kamuihalekurumu.com is available which is an executable.

Analysis shows us that this in fact the file is known as Backdoor.Celofot (Ikarus) or the W32/Infostealer.A!Maximus (by F-Prot). Once executed it will create the following files on the system: %Programs%\Startup\ntdll.lnk and %System%\wins\setup\msmgrs.exe.

Backdoor.Celefot could give an attacker unauthorized access to a machine and the means for remotely controlling the machine without the user’s knowledge.

Only 9 of the 39 anti virus engines did detect the virus. Virus Total permlink and MD5:  eede5c242783ac82f14a7904cc4852e2.

3 thoughts on “Backdoor.Celofot, originating from Turkey

  1. I found and deleted backdoor.celofot using Malwarebytes 1.44. Adaware, McAfee, and Combofix all missed it.

    Registry Values Infected:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\protect_ie (Backdoor.Celofot) -> Quarantined and deleted successfully.

Comments are closed.