W32/Lavenh@MM, W32/Bloodhound@MM

Lavehn es un gusano reportado el 20 de Julio del 2002, de gran difusión masiva que se propaga a través de mensajes de correo electrónico, con un archivo anexado de nombre Unheval.exe con 32 KB de extensión y que tiene un Asunto en español supuestamente relacionado a un concurso de admisión a centros educativos. 

Está desarrollado en Visual Basic y es un PE (Portable Ejecutable) que infecta los sistemas operativos Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000.

Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface), una vez que un sistema es infectado, el gusano se auto-envía a todos los buzones de la libreta de direcciones de MS Outlook y Outlook Express, en un mensaje de correo:

Al hacer clic en el archivo infectado, el gusano se autocopia a %system%, que es una variable de la carpeta del Sistema de Windows y que por defecto es C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para  NT/2000 o C:\Windows\System32 para Windows XP.

Para ser ejecutado la próxima vez que se inicie el sistema crea las siguientes llaves de registros, a las cuales le agrega el valor UNH32 = %System%\UNHEVAL.EXE

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
UNH32 = C:\Windows\System\Unheval.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
UNH32 = C:\Windows\System\Unheval.exe

Su payload destructivo consiste en borrar los archivos de todas las unidades de disco con extensiones .xls, .doc, .mdb, .mp3, .rpt, y .dwg