W32/Lolol.D, I.worm.Lolol.D

LOLOL.D es el más peligroso gusano, de la familia Lolol, reportado el 03 de Febrero del 2003, que se propaga masivamente entre los usuarios que comparten los archivos de la red Kazaa y contiene un backdoor que toma el control de los equipos infectados, a través de dos servidores IRC (Internet Chat Relay).

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/XP. Está desarrollado en Visual C++, con una extensión de 59 KB.

Al infectar un sistema se auto-copia como syscfg32.exe a la carpeta %System% y crea las siguientes llaves de registro para activarse al siguiente reinicio del sistema:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Configuration Loader" = C:\%System%\winsys.exe

[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Configuration Loader" = C:\%System%\winsys.exe

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP.

En los sistemas Windows 95/98/Me, el gusano se oculta en una lista de procesos de tareas, al registrase como un servicio, invocando al API RegisterServiceProcess(). 

Verifica que tan solo una instancia de sí mismo está siendo ejecutada en el sistema, constatando el nombre del proceso en la lista activa de los mismos.  

Para propagarse vía la red de archivos compartidos Kazaa, libera muchas auto-copias en las siguientes carpetas: 

C:\Archivos de programa\Kazaa Lite\My Shared Folder 
C:\My Downloads 
C:\Archivos de programa\Kazaa\My Shared Folder

El extenso número de archivos infectados con el código viral son los siguientes:

• how to use a shell.pif
• Virtua Girl (Full).exe
• worldbook.exe
• HotGirls.exe
• Virtua Sex.exe
• fuck.exe
• GTA 3 Serial.exe
• GTA 3 Crack.exe
• gta3.exe
• driver.exe
• virtua girl - completely nude.pif
• virtua girl - bailey short skirt.pif
• virtua girl - adriana.pif
• virtua girl - ALL.pif
• virtua girl - bunny.pif
• virtua girl - Rebecca.pif
• virtua girl - jenn.pif
• virtua girl - courtney.pif
• virtua girl - mandy.pif
• virtua girl - hells angels.pif
• virtua girl - business woman.pif
• virtua girl - judith.pif
• virtua girl - wet and wild.pif
• virtua girl - vera.pif
• virtua girl - tennis girl.pif
• virtua girl - victoria.pif
• virtua girl - nikki.pif
• virtua girl - chole.pif
• virtua girl - melina black pepper.pif
• virtua girl - jammie williams.pif
• virtua girl - nikki taylor.pif
• virtual girl - completely nude.pif
• virtual girl - bailey short skirt.pif
• virtual girl - adriana.pif
• virtual girl - ALL.pif
• virtual girl - bunny.pif
• virtual girl - Rebecca.pif
• virtual girl - jenn.pif
• virtual girl - courtney.pif
• virtual girl - mandy.pif
• virtual girl - hells angels.pif
• virtual girl - business woman.pif
• virtual girl - judith.pif
• virtual girl - wet and wild.pif
• virtual girl - vera.pif
• virtual girl - tennis girl.pif
• virtual girl - victoria.pif
• virtual girl - nikki.pif
• virtual girl - chole.pif
• virtual girl - melina black pepper.pif
• virtual girl - jammie williams.pif
• virtual girl - nikki taylor.pif
• winxp.iso.pif
• super mario brothers.exe
• super mario bros.exe
• ut 2k3.pif
• ut 2k3.exe
• anarchist cookbook.pif
• NBA 2003 serials.epif
• NBA 2003 Crack.exe
• NBA 2003.exe
• play station emulator crack.exe
• play station emulator.exe
• warcraft 3 serials.pif
• warcraft 3 crack.exe
• 100 free essays school.pif
• aol password cracker.exe
• aim password cracker
• aol cracker.exe
• aim cracker.exe
• steal usernames.exe
• how to hack.exe
• divx pro.exe
• fireworks.exe
• fireworks serial.pif
• fireworks crack.exe
• porn screen saver.scr
• supra screen saver.scr
• hondra screen saver.scr
• pamela anderson screen saver.scr
• age of empires 2 cheats.exe
• age of empires 2.exe
• age of empires 2 help.exe
• age of empires 2 serial.pif
• age of empires 2 serials.pif
• age of empires 2 keygen.exe
• age of empires 2 crack.exe
• hotmail hack.exe 

Esta cantidad de archivos, con nombres sugerentes, son susceptibles de ser compartidos por otros usuarios e infectarse en sus correspondientes descargas.

El gusano se conecta a dos servidores IRC (Internet Chat Relay) y desde los cuales recibirá instrucciones o comandos del hacker que posea el Backdoor Cliente: 

• bawts.no-ip.com
• atlanta.ga.us.undernet.org 

Cuando el sistema se conecta a cualquiera de estos servidores de Chat, el gusano crea un hilo que posibilitará el control remoto malicioso de los sistemas infectados.

El autor muestra su nombre en el cuerpo de los archivos infectados:

Sus payloads nocivos y/o destructivos son:

• Extrae información de los sistemas, tales como velocidad del CPU, sistema operativo, memoria RAM, dirección IP y nombre del servidor.
• Se conecta remotamente a direcciones web específicas.
• Hace PING y envía paquetes a otros servidores con el propósito de saturarlos.
• Genera clones del sistema en canales de chat determinados.
• Ejecuta archivos o programas remotamente.
• Descarga una copia infectada actualizada de sí mismo.
• Desinstala la versión anterior.
• Usa el sistema como un servidor Proxy para conectarse a otros servidores.
• Verifica si el troyano/backdoor SubSeven, está instalado en el sistema infectado.
• Verifica la existencia del freeware WinMX, que es un programa de compartimiento, descargas, etc. y de hallarlo, lo ejecutará aleatoriamente y en forma masiva.
• Manipula el servidor FTP del sistema.
• Deshabilita el acceso al IPC$ share que permite enviar comandos a los servidores.
• Se conecta y envía comandos vía el ICQ. 

PER ANTIVIRUS® versión 7.9 con registro de virus al 03 de Febrero del 2003 detecta y elimina eficientemente este gusano/backdoor.