Lentin.V

LENTIN.V gusano de propagación masiva a través de Correo, KaZaa y redes con recursos compartidos.

W32/Lentin.V, Yaha.AV@mm

Lentin.V es es la reciente variante de la familia de gusanos Yaha reportada el 05 de Diciembre del 2003 que se propaga en mensajes de correo con una gran diversidad de Asuntos, Contenidos y archivos Anexados aleatorios con extensiones .COM, .EXE o .ZIP.

Termina los procesos de la mayoría de antivirus, infecta además Redes con recursos compartidos y la P2P KaZaa.

Usa su propio servidor SMTP (Simple Mail Transfer Protocol) y se auto-envía a los buzones de correo extraídos de la Libreta de Direcciones de Windows (WAB), contactos de MSN Messenger, NET Messenger y el Yahoo Pager.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003 está desarrollado en Visual C++, con una extensión de 60 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Los Asuntos y Contenidos tienen una extensa variedad de textos.

Al ejecutar el archivo anexado, el gusano se auto-copia a la carpeta %System% con los siguientes nombres:

MSupdat.exe
MSexec.exe

Para ejecutarse la próxima vez que se re-inicie el sistema el gusano modifica las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"MicrosoftServiceManager" = "%System%\MSupdat.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"MicrosoftServiceManager" = "%System%\MSupdat.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Para activarse en Windows 95/98/Me, el gusano modifica el archivo SYSTEM.INI:

SYSTEM.INI
[windows]
run = [ÉÍÑ] (en idioma ruso)

Al siguiente inicio del equipo MSexec.exe se activa y modifica los archivos usados por Microsoft para registrar las direcciones TCP/IP para Windows:

%Windir%\System32\Drivers\Etc\Hosts
%Windir%\System32\Drivers\Etc\Lmhosts

con el propósito de restringir el acceso a los siguientes sitios web:

www.symantec.com
www.microsoft.com
www.sophos.com
www.avp.ch
www.mcafee.com
www.trendmicro.com
www.pandasoftware.com
www3.ca.com
www.ca.com

La siguientes llaves de registro serán modificadas para que cada vez que un archivo .EXE, .BAT y .COM sea ejecutado el virus se active:

[HKEY_CLASSES_ROOT\exefile\shell\open\command "Default " = "%System%\MSexec.exe""%1"%*"]

[HKEY_CLASSES_ROOT\comfile\shell\open\command "Default " = "%System%\MSexec.exe""%1"%*"]

[HKEY_CLASSES_ROOT\zipfile\shell\open\command "Default " = "%System%\MSexec.exe""%1"%*"]

Además de la propagación masiva a través de mensajes de correo aleatorios, emplea su servidor SMTP (Simple Mail Transfer Protocol) para difundirse en redes con recursos compartidos y la red Peer to Peer KaZaa.

Sus payloads son los siguientes:

Se propaga masivamente en mensajes de correo, con una gran variedad de Asuntos y Contenidos aleatorios a los buzones extraídos de la Libretas de Direcciones de Windows (WAB), contactos de MSN Messenger, NET Messenger y el Yahoo Pager.
También lo hace a través de redes con recursos compartidos o la red P2P KaZaa.
Modifica los archivos Hosts y Lmhosts para impedir el acceso a determinados portales de Internet.
Termina los procesos de la mayoría de antivirus.
Se activa cada vez que se ejecuta archivos con extensiones .EXE. .COM y .ZIP.

PER ANTIVIRUS® versión 8.4 con registro de virus al 05 de Diciembre del 2003 detecta y elimina eficientemente este gusano.