Alguien sabe que es el archivo Colous.exe

Iniciado por lucas25cba, 27 Agosto 2017, 06:21 AM

0 Miembros y 1 Visitante están viendo este tema.

lucas25cba

Buenas!
Tal como lo dice el título mi duda es sobre de que se trata el archivo Colous.exe que se encuentra dentro del directorio Windows (PC con Windows 7).
Googleo pero no encuentro nada especifico.

Aclaro: no es un archivo que yo haya instalado (al menos conscientemente).
Me pareciera que no es un archivo de Windows por eso me entra la duda que hace allí.
En la pagina de virustotal lo subí y solamente 7 de 64 lo dieron como maleware

Desde ya muchas gracias!

nightcode

saludos ese archivo es un troyano (virus auto instalable de forma oculta)

COLOUS.EXE :
% WINDIR% \ COLOUS.EXE   Trojan FrauDrop
% WINDIR% \ COLOUS.EXE   Peligroso
% WINDIR% \ COLOUS.EXE   Alto riesgo
% Windir% \ colous.exe
Le sugerimos que elimine COLOUS.EXE de su computadora tan pronto como sea posible.
COLOUS.EXE es conocido como: Trojan FrauDrop
MD5 de COLOUS.EXE = AD83AE05604B32C0380AD26E69CA50CD
COLOUS.EXE tamaño es 11776 bytes.
Camino completo en un equipo:% WINDIR% \ COLOUS.EXE
Archivos relacionados:
C: \ AT-DESTROYER.TXT
% TEMP% \ 17.TMP \ AT-DESTROYER.BAT
% TEMP% \ AT-DESTROYER \ AT-DESTROYER.EXE
% WINDIR% \ COLOUS.EXE
Quitar COLOUS.EXE ahora!
Revisado por:
Por NightWatcher
COLOUS.EXE Clasificación peligrosa: 5 de 5
"Las organizaciones gastan millones de dólares en firewalls y dispositivos de seguridad, pero tiran el dinero porque ninguna de estas medidas cubre el eslabón más débil de la cadena de seguridad: la gente que usa y administra los ordenadores"

lucas25cba

#2
Antes que nada: muchas gracias por responder!!!!

CitarCOLOUS.EXE tamaño es 11776 bytes.
Coincide con el tamaño de "mi" colous.exe

Pero ahora me entra otra duda:
CitarRevisado por:
Por NightWatcher
¿Quién/Que es NightWatcher?

Pasa que la fecha de instalacion de colous.exe data prácticamente de cuando adquirí la computadora (ya me vino con un windows pirata).
No me queda dudas de que NO ES de Windows 7 pues instale en una maquina virtual una copia de Windows 7 desde 0, hice las actualizaciones y en éste no aparece ningún Colous.exe

Pero parece que éste troyano está desde hace mas de 5 años...
ejecute diferentes anti-maleware, tales como: MBAM. Esset, At-Destroyer, AdwareCleaner, JRT, Avast analisis de inicio, Avira desde CD booteable, Kaspersky Rescue Disk (tambien booteable), Bit-defender, SpyBoot S&D, SuperAntiMaleware... y ninguno de ellos me detecto que colous fuese un maleware.
El único que lo hizo fue Trojan killer. Allí me entró la duda. Y gracias nuevamente por responder.

Ahora bien, noto otra cosa recién ahora, no sabría decir si ya estaba o no, aunque  su fecha de creación es del 2012 coincide con la de modificado exactamente y con fecha de ultimo acceso aparece 27 de agosto del 2017. Me refiero al archivo cadkasdeinst01e.exe que también se encuentra dentro de la carpeta C:\Windows.

Y es por ello que pregunto quien/que es NightWatcher. Como llega ya sea el o vos a la conclusión de que es un troyano de clasificacion peligrosa 5 de 5 cuando los antivirus mencionados no lo hicieron.

Resumiendo: ¿Cómo puedo aprender a hacer tal chequeo para cadkasdeinst01e.exe?

A lo mejor en el proceso aprendo algo  :)

Desde ya, muchas gracias!

lucas25cba

#3
Buenas!

Luego de la respuesta de nightcode me quedé preocupado.
Éste es el Colous.exe que tengo en mi PC



Pero ahora estoy totalmente mareado!!!  :P
Buscando colous en elhacker me salen un varios resultados en los cuales entiendo que colous es una herramienta de terceros (creo que desarrollada por BOLIVIANITO) que se utiliza para script batch.

Por ejemplo, dejo algunos links:
http://foro.elhacker.net/buscador-t276318.0.html
http://foro.elhacker.net/buscador2-t358757.0.html;msg1736032#msg1736032
http://foro.elhacker.net/scripting/mostrar_diferentes_colores_en_archivo_batch_bat_msdos-t322816.0.html
http://foro.elhacker.net/scripting/debug_batch-t299987.0.html
http://foro.elhacker.net/buscador2-t285785.0.html;msg1412795#msg1412795
http://foro.elhacker.net/buscador-t360287.0.html

Éstos links son anteriores al 2013.

Luego encuentro éste link:
http://www.greatis.com/appdata/d/Windows/c/colous.exe.htm
El cual dice exactamente lo que la respuesta de nightcode....

La verdad que si es un programa de tercero que hay que descargar no tengo la mas pálida idea de como fue a parar a mi PC pues estoy seguro de no haberlo descargado pues recién ahora se lo que es.

Mis dudas son:
¿Colous.exe (así con la primera letra en mayúscula y el resto en minúscula) es solamente un comando de funcionalidad gráfica para batch?
¿Es un troyano?
¿Una cosa es Colous de BOLIVIANITO y otra cosa es Colous de mi sistema y por ende la respuesta de nightcode?
¿Por qué Trojan Killer (programa para detectar troyanos me dice lo siguiente?

Citar----- C:\Windows\Colous.exe ---- General Threat
   Malware.Win32.Gen.cld
   Signature verification: False
   MD5: AD83AE05604B32C0380AD26E69CA50CD:11776
   FUZ: 192:s2kOXJT9ei5wfCctivzFZjvEvLcTL8U1g0Pa6mdxIkHWLkt03e07AO+o:sAXgqHv5GvLIV1Fa6mdxIJs0VAWg
   SUBS: Win32 Console
   PE: x86
   EP: 60BE15B044008DBEEB5FFBFF57EB0B908A064688074701DB75078B1E83EEFC11DB72EDB80100000001DB75078B1E83EEFC11DB11C001DB73EF75098B1E83EEFC11
   EPSEC: 1
   EPRVA: 0004D850
   IBASE: 00400000
   SEC:
      UPX0:E0000080:00000000000000000000000000000000:0
      UPX1:E0000040:76A56AAC21FC43B96EFD30D75602A24B:10752
      UPX2:C0000040:77F8CF7B38D3DF83DACA5A3EB394B45C:512

Otra cosa: me da mala espina que la fecha de modificación sea anterior a la de creación...
Al igual que la fecha de ultimo acceso... aunque CREO ella coincide con su detección por Trojan Killer y cuando decidí grabar tal archivo en un DVD.

Aclaro que todavía no lo he borrado de mi PC. Quisiera saber antes que es.

No se... a ésta altura estoy mas que perdido.

Desde ya muchas gracias si alguien puede aportarme algo de claridad!!!

EDITO Y AGREGO:
Acabo de copiar a un DVD a Colous.exe que se encuentra en  la carpeta Windows y ejecute nuevamente Troyan Killer (continúa detectando lo mismo que cité arriba). Pero no cambió la fecha de último acceso (sigue siendo domingo, ‎27‎ de ‎agosto‎ de ‎2017, ‏‎02:31:28 a.m.)... Estoy seguro de no haberle hecho doble click ni ejecutado mediante cmd....