Lohack.C

Lohack.C gusano de alta propagación masiva vía Correo Kazaa y e iMesh simula ser actualización de Windows.

W32.Lohack.C@mm, I worm-Lohack.c@mm

Lohack.C es un gusano reportado el 22 de Julio del 2003, variante del Lohack, de alta propagación masiva a través de mensajes de correo con un Asunto, Contenido y archivo Anexado, relacionado a una supuesta actualización para todas las versiones de MS Windows. Se difunde además vía las Redes con recursos compartidos P2P Kazaa e Imesh.

Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface) se auto-envía a todos los buzones de correo de la Libreta de Direcciones de MS Outlook, así como las extraídas de archivos de diversas extensiones dentro del sistema infectado.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Visual C++, con una extensión de 44 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

La muestra fue enviada desde España (+2 GMT). El mensaje tiene estas características:

Al hacer click en el archivo anexado, se auto-copia a las carpetas de descarga de KaZaA e iMesh con los siguientes nombres de archivos:

Microsoft Excel Password Recovery (All Versions).exe
Microsoft Word Password Recovery (All Versions).exe
Microsoft Access Password Recovery (All Versions).exe
Microsoft Office Password Recovery (All Versions).exe
Windows Screen Saver Password Recovery (All Versions).exe
RAR Password Recovery.exe
ZIP Password Recovery.exe
ICQ Password Recovery (All Versions).exe
Emulator Downlaoder.exe
XBox Secrets.exe
Microsoft Office XP Key Generator.exe
Norton Antivirus 2003 Beta Downloader.exe
Age of Empires 2 Crack.exe
ICQ Banner Remover.exe
KaZaA Spyware Remover.exe
DivX Lastest Beta.exe
DivX.exe
KaZaA 2.0 Lastest Beta.exe
Xuxa nua.exe
Tiazinha nua.exe
Britney Spears Nude.exe
WinRar and Crack.exe
WinZip 8.0 and Serial.exe
MIB episode 2 Downloader.exe
GTA3 Secrets.exe
GTA3 Crack.exe
Half-life Secrets.exe
Warcraft 3 Secrets.exe
Quake 4 Lastest Beta.exe
Windows Secrets.exe
Windows (All Versions) Key Generator.exe
Windows XP Crack.exe
Windows XP Serial Generator.exe
Windows XP Key Generator.exe
XBox Emulator.exe

Este gusano tiene tres rutinas consecutivas que se ejecutan tan solo una vez. A menos que el usuario haga doble click nuevamente en el archivo infectado.

Crea un archivo de acceso directo con los nombres de los archivos mencionados, hacia un portal de intercambio de virus.

Para el envío masivo de mensajes, revisa el contenido de las unidades de discos C: y D y extrae las direcciones de de correo en los archivos con las siguientes extensiones:

*.idx
*.nch
*.mdx
*.dbx
*.msg
*.eml
*.txt
*.htm

Inmediatamente procede a su rutina de envío masivo de mensajes de correo por medio de las librerías MAPI.

Los payloads de este gusano son:

Se propaga masivamente en mensajes de correo, con un Asunto, Contenido y archivo Anexado relacionados a un supuesta actualización de todas la versiones de MS Windows.
Usa la Libreta de Direcciones de MS Outlook.
También usa Remitentes extraídos de archivos de varias extensiones del sistema infectado.
Infecta a través de la red Peer to Peer Kazaa e iMesh.
Intenta saturar Servidores de Correo, estaciones de trabajo y PC domésticas.

PER ANTIVIRUS® versiones 8.1 y 8.2, con registro de virus al 22 de Julio del 2003, detectan y eliminan eficientemente este gusano.

Nota: existe una diferencia de 7 horas entre Perú (-5 GMT) y España (+2 GMT)