|
LORRAINE.C, gusano infecta masivamente vía Correo, P2P,
MSN Messenger y el ICQ. Deshabilita antivirus, etc.
|
|
©
Jorge Machado Lima-Perú
|
|
W32/Lorraine.C@mm, W32/Mapson.C@mm,
W32/Lorra.C@mm
Lorraine.C es un gusano reportado el
03 de Julio del 2003, variante del gusano Lorraine, de alta propagación masiva a través de mensajes de correo con
Asuntos, Contenidos y archivos Anexados, elegidos en forma aleatoria.
Se difunde además vía el ICQ, las redes Peer to
Peer como Kazaa, Gnucleus,
Grokster,
Morpheus,
edonkey2000, LimeWire y
del MSN Messenger.
Al igual que sus versiones anteriores deshabilita antivirus, firewalls y
sistemas de control y esta variante intenta descargar un archivo .HTML
del website del autor.
Ha sido creado en México por Falckon,
miembro del grupo internacional de creadores de virus GEDZAC 2003 y
la muestra obtenida fue
enviada desde España (+2 GMT)
El gusano infecta Windows
95/98/NT/Me/2000/XP,
incluyendo los servidores NT/2000/Server
2003, está desarrollado en
Borland Delphi, tiene 176 KB de extensión y comprimido con el utilitario UPX (Ultimate
Packer
for eXecutables):
http://upx.sourceforge.net
Haciendo uso de las funciones de las librerías MAPI
(Messaging
Application Programming Interface)
se auto-envía a todos los buzones de correo de la Libreta de Direcciones de
MS Outlook
y a la Libreta Global de Windows WAB
(Windows Address Book).
También
se envía a los buzones contenidos en el cTmail,
el sistema de envío de correo basado en la web.
Los mensajes tienen las siguientes características:
Remitente, emplea la técnica
Spoofing, que disfraza los verdaderos remitentes. Asimismo usa las direcciones
extraídas del sistema infectado:
- bigbrother@bigbrother.tv
- support@hotmail.com
- support@passport.com
- hacker@hotmail.com
- notice@madonna.com
- Anti-Spam@campaña.com
- test@hispasec.com
- Amor@teamo.com
- Latincards@latincards.com
- lorena@hotmail.com
- Maria_fernanda@mfernanda.com
- lacosha@hotmail.com
- Webmaster@vsantiviru.com
- Webmaster@zonaviru.com
- cristina_aguilera@cristina-aguilera.com
- [direcciones_extraídas_del_sistema_infectado]
Asuntos, cualquiera de los siguientes:
- Alerta por Virus W32/Mapson
- Re:Reenviamelo de nuevo
- Re:Quitan cuentas de hotmail
- Problema de seguridad en Internet Explorer
- Lista de Hoaxes
- Para mis amigos
- Espero que te guste
- 10 consejos para terminar su noviazgo
- Herramienta gratuita para eliminar el Mapson
- Re: Dime que te parece
- Por que es mi amigo.
- por que lo vales.
- Lea el adjunto y enterese
- Por que su amistad es lo mas importante.
- Te amo
- In the last days has gone detecting a new called virus Mapson, already they have been detected various
- Warning by Virus W32/Mapson
- They remove accounts of hotmail
- problem of security in Internet Explorer
- Fwd:read it an resubmit it to the people that you more love
- "If it does not bark to you, return it to me
- Photookosmike.scr
- Hoax List
- For my friends
- I hope that you like
- the ten steps for.....
- ten counsels to finish with its boyfriend
- the msn 6 violates our privacy
- tell me that it seems
- Read with attention
- So that he is my friend
- so that it bonds
- Documents
- So that its friendship is but the important thing.
- I love you
Anexados, cualquiera de los siguientes:
- NSPCLEAN.exe
- bromas.scr
- pasos.pif
- IEXPLORERSTACK.pif
- amor_real.pif
- fotokosmiko.scr
- hoax-list.com
- OsamaBinLadenJokes.scr
- Cards.exe
- carta_de_amor.exe
- consejos-noviazgo.exe
- Anti-Worm.exe
- animation-simpsons.scr
- realidades.pif
- porque-lo-quiero.pif
- documents.scr
- loValoroMucho.scr
- amor-eterno.pif
- amigos-por-siempre.exe
- NSPCLEAN.exe
- jokess.scr
- steps.pif
- IEXPLORER_STACK.pif
- real_love.scr
- Photookosmike.scr
- hoax-list.com
- OsamaBinLadenJokes.scr
- Cards_love.pif
- sexual_steps.pif
- counsels.pif
- analysis_mzn6.pif
- animation-simpsons.scr
- reality_dreams.pif
- my_best_friend.pif
- friends.pif
- documents.scr
- Ivalue-much.pif
- love-forever.pif
Contenidos, uno de los
siguientes:
- En los últimos días se ha ido detectando un nuevo
virus llamado Mapson, ya se han detectado varios
infectados de este gusano, si usted se encuentra
infectado podrá remover este gusano con esta
herramienta gratuita que le hemos enviado, una
vacuna que hemos diseñado especialmente para
usuarios de hotmail, si usted esta de acuerdo
haga clic en el adjunto para empezar el scaneo y
eliminar este despreciable gusano de su maquina.
Gracias.
- Si te gusto reenviamelo.
- Al parecer hotmail ya esta muy saturado de
usuarios y amenazan con quitar cuentas, pero se
puede evitar siguiendo unos pasos, léelos y no
tendrás problemas, chau
- Un problema de seguridad a sido detectado en
Internet Explorer se recomienda aplicar los
correspondientes parches ya que esta vulnerabilidad
puede permitir la ejecución arbitraria de código en
la maquina afectada, para saber mas acerca de esta
vulnerabilidad favor de leer el documento y así
prevenir el ataque de un virus informativo
- Si el documento expone lo que sientes hacia otra
persona, reenvíalo a tus amigos y un sueño se hará
realidad.
- Si no te late, devuTlvemelo
- Te envío una lista de hoaxes, virus falsos, para
que estés prevenido y no hagas caso a las mentiras,
chau cuídate
- Los mejores chistes que tengo, disfrutenlos
Al ejecutar el archivo el gusano se copia al directorio raíz como C:\mark.vxd
y a la carpeta %System% con los
siguientes nombres:
- analysis_mzn6.pif
- animation-simpsons.scr
- Cards_love.pif
- counsels.pif
- documents.scr
- friends.pif
- hoax-list.com
- IEXPLORER_STACK.pif
- lvalue-much.pif
- jokess.scr
- Lorena.exe
- love-forever.pif
- my_best_friend.pif
- NSPCLEAN.exe
- OsamaBinLadenJokes.scr
- Photookosmike.scr
- real_love.scr
- reality_dreams.pif
- sexual_steps.pif
- steps.pif
Para ejecutarse la próxima vez que se inicie el sistema, el gusano crea la siguiente llave de registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Load32" = "%System%\Lorena.exe"
%System%
es la variable C:\Windows\System para
Windows 95/98/Me, C:\Winnt\System32 para
Windows NT/2000 y C:\Windows\System32
para Windows XP y Windows Server 2003.
Una vez activado, el gusano terminará los procesos de los siguientes antivirus o firewalls que se encuentren instalados en el sistema infectado:
- _AVP32.exe
- _AVPCC.exe
- _AVPM.exe
- ADVXDWIN.exe
- AGENTW.EXE
- ALERTSVC.exe
- ALOGSERV.exe
- AMON9X.exe
- ANTI-TROJAN
- ANTS.exe
- APVXDWIN.exe
- ATCON.exe
- ATUPDATER.exe
- ATWATCH.exe
- AUTODOWN.exe
- AVCONSOL.exe
- AVGCC32.exe
- AVGCTRL.exe
- AVGSERV.exe
- AVGSERV9.exe
- AVGW.exe
- AVKPOP.exe
- AVKSERV.exe
- AVKSERVICE.exe
- AVKWCTL9
- AVP32.exe
- AVPCC.exe
- AVPM.exe
- AVPM.EXE
- AVSCHED32.exe
- AVSYNMGR.exe
- PAV.EXE
- AVWINNT.EXE
- AVXMONITOR9X
- AVXMONITORNT
- AVXQUAR.exe
- AVXQUAR.EXE
- AVXW.exe
- BLACKD.exe
- BLACKICE.exe
- CCAPP.EXE
- CCEVTMGR.EXE
- CCPXYSVC.EXE
- ETRUSTCIPE.EXE
- EVPN.EXE
- EXPERT.exe
- F-AGNT95.exe
- FAMEH32.exe
- F-PROT.exe
- F-PROT95.exe
- FP-WIN.exe
- FRW ERV.exe
- IOMON98.exe
- NAV AUTO-PRO
- NAVAP.EXE
- NAVAPSVC.EXE
- Navapw32.exe
- NAVENGNAV.EXE
- NAVLU32.EXE
- NAVW32.EXE
- NAVWNT.EXE
- NDD32.EXE
- NPSSVC.EXE
- NSCHED32.EXE
- PCCIOMON.EXE
- PCCNTMON.EXE
- PCCWIN97.EXE
- PCCWIN98.EXE
- PCSCAN.EXE
- PERSFW.EXE
- PERSWF.EXE
- POP3TRAP.EXE
- RAV7.EXE
- VPC32.EXE
- VPTRAY.EXE
- VSCHED.EXE
- AVCONSOL.EXE
- VSECOMR.EXE
- VSHWIN32.EXE
- VSMAIN.EXE
- VSMON.EXE
- VSSTAT.EXE
- ZONEALARM.EXE
- ICLOAD95.EXE
- ICMON.EXE
- ICSUPP95.EXE
- ICLOADNT.EXE
- ICSUPPNT.EXE
- IFACE.EXE
- Regedit.EXE
- Regedit.com
- msconfig.EXE
- sfc.EXE
- sysedit.EXE
- regedt32.EXE
- NSPCLEAN.exe
- taskmgr.exe
- CCAPP.EXE
Para infectar a través de las redes Peer
to Peer, el gusano se auto-copia a las carpetas:
- \KaZaA\My Shared Folder
- \edonkey2000\incoming
- \gnucleus\downloads
- \icq\shared files
- \kazaa lite\my shared folders\v
- \limewire\shared
- \morpheus\my shared folder
- \Grokster\My Grokster
Con los nombres de los siguientes archivos:
- Alejandra Guzman.gif.exe
- Angelica Vale.gif.exe
- Brenda.gif.exe
- Britney Spears.gif.exe
- Cameron dias.gif.exe
- Celine Dion.gif.exe
- Desnuda en la playa.gif.exe
- Francini.gif.exe
- Galilea Montijo.gif.exe
- Halle berry.gif.exe
- Kylie Minogue.gif.exe
- las pelotas de.gif.exe
- Laura Pausini.gif.exe
- Lili Brillanti.gif.exe
- Lorena.gif.exe
- Nude Pic.gif.exe
- Paulina Rubio.gif.exe
- Pink.gif.exe
- Sexo en la playa con.gif.exe
- Sexy Beach.gif.exe
- Shakira.gif.exe
- Thalia.gif.exe
- Ad-aware.exe
- Adobe Acrobat Reader (32-bit).exe
- AOL Instant Messenger (AIM).exe
- Biromsoft WebCam.exe
- Copernic Agent.exe
- crack all versions.exe
- Cracked.exe
- Delphi 6.exe
- Diet Kaza.exe
- DirectDVD.exe
- DivX Video Bundle.exe
- Download Accelerator Plus.exe
- FireWorks 4.exe
- FIreWorks MX.exe
- Full version.exe
- Global DiVX Player.exe
- Grokster.exe
- ICQ Lite.exe
- ICQ Pro 2003a beta.exe
- iMesh.exe
- JetAudio Basic.exe
- Kaspersky Antivirus.exe
- Kazaa Download Accelerator.exe
- Kazaa Media Desktop.exe
- KeyGen.exe
- Matrix Movie.exe
- McAfee Antivirus.exe
- Microsoft Internet Explorer.exe
- Microsoft Office XP.exe
- Microsoft Windows 2003.exe
- Microsoft Windows Media Player.exe
- Morpheus.exe
- msn hack.exe
- MSN Messenger (Windows NT/2000).exe
- Nero Burning ROM.exe
- NetPumper.exe
- Network Cable e ADSL Speed.exe
- Norton Antivirus.exe
- Office 2003.exe
- Panda Antivirus.exe
- PerAntivirus.exe
- Pop-Up Stopper.exe
- QuickTime.exe
- RealOne Free Player.exe
- Registry Mechanic.exe
- SnagIt.exe
- SolSuite 2003: Solitaire Card Games Suite.exe
- Spybot - Search & Destroy.exe
- Trillian.exe
- Virtual Girl Sofía.exe
- Visual Studio Net.exe
- Winamp.exe
- WinMX.exe
- WinRAR.exe
- WinZip.exe
- WS_FTP LE (32-bit).exe
- XoloX Ultra.exe
- ZoneAlarm.exe
Los días 04 de cualquier mes el gusano crea en el directorio raíz, un archivo de nombre
lorraine.c.hta que no es auto-ejecutable. Sin embargo, si es activado manualmente presenta una
de las dos siguientes cajas de diálogo:
El gusano intenta descargar un archivo .HTML
desde esta dirección:
http://www.gratisweb.com/falckon/index.html
Los payloads
de este gusano son:
- Se propaga masivamente en mensajes de correo, con una variedad de Remitentes falsos (Email Spoofing), Asuntos, Anexados y Contenidos, en forma aleatoria.
- También usa Remitentes extraídos de la
Libreta de Direcciones de MS Outlook, MSN Messenger y Ctmail.
- Ha sido desarrollado en México por un
miembro del grupo de hackers internacionales GEDZAC.
- Infecta a través de la mayoría de redes
Peer to Peer.
- Se propaga además a través del ICQ.
- Crea un archivo con extensión .HTA que si
es ejecutado manualmente muestra una de dos cajas de diálogo con el nombre
del virus, el autor y el grupo de hackers al cual pertenece.
- Intenta descargar un archivo .HTML de la
página del autor del gusano.
- Intenta saturar Servidores de Correo,
estaciones de trabajo y PC domésticas.
PER
ANTIVIRUS®
versión 8.1 con
registro de virus al 03 de Julio del 2003 detecta y elimina
eficientemente este gusano.
Nota: existe una diferencia de 7 horas
entre Perú (-5 GMT) y España (+2 GMT)
