Ling.Ling

LINGLING troyano de Internet explota vulnerabilidades de sistemas MS borra archivo HOSTS roba información.

Troj/LingLing.Infostealer

LingLing es un troyano de origen chino, residente en memoria reportado el 15 de Febrero del 2007 que ingresa a través de diversos servicios de Internet a servidores, estaciones de trabajo o PC domésticas.

Explota las vulnerabilidades del Microsoft Data Access Components (MDAC) y las del Vector Markup Language, que permiten la ejecución de códigos arbitarios remotos, detalladas en los Boletines MS06-014 y MS07-004, respectivamente.

Es un PE (Portable Ejecutable) infecta Windows 98/NT/2000/NT/Me/XP, está desarrollado en Visual C++ con una extensión de 16KB y comprimido con rutinas propias.

Al ser ejecutado se copia a las siguientes rutas y con los nombres.

%System%\~.exe
%Temp%\svchost.exe
%Temp%\g0ld.com
%Windir%\chenzi.exe

Al siguiente inicio del equipo, el troyano termina el siguiente proceso, si existe:

QQLiveUpdate.exe, que es un malware, también de origen chino.

Para descontrolar los sitios web a los cuales pueda acceder el usuario, el troyano borra el archivo HOSTS ubicado en:

%System%\drivers\etc\Hosts

A continuación verifica si el sistema está ejecutando el explorer.exe y busca la ventana del juego de PC de origen chino World of Warcraft y en caso de encontrarla y detectar que el proceso del juego es WOW.exe, el troyano extraerá la siguiente información:

Servidor de World of Warcraft
Identidad del usuario
Password
Información del Sistema Operativo
Dirección IP local

La misma que enviará al portal chino:

http://www.137wg.com/hao/wow[censurado]

Los parches para las vulnerabilidades mencionadas, puden ser descargados desde:

PER ANTIVIRUS® versión 10.0 con registro de virus al 15 de Febrero del 2007 detecta y elimina este troyano.