Lovelorn.B

LOVELORN.B, gusano de Correo, deshabilita antivirus, infecta y renombra archivos, roba passwords, etc.

W32/Lovelorn.B@mm, I-worm.Lovelorn.B

Lovelorn.B es un gusano reportado el 16 de Mayo del 2003, de propagación masiva, a través de mensajes de correo en formatos con Remitente, Asuntos, Contenidos y archivos Anexados elegidos en forma aleatoria.

Emplea la técnica Email spoofing, que disfraza las direcciones de los Remitentes.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003

Está desarrollado en Borland C, con una extensión de 100 KB.

El gusano posee su propio SMTP (Simple Mail Transfer Protocol) y se auto-envía a los buzones de correo de los archivos .EML, ITEM, BOX, .DBX y HTM.

Sus formatos de mensajes son los siguientes:

Remitente, cualquiera de los siguientes:

[nombre_de_usuario] del sistema infectado.
lovelorn@yahoo.com
love_lorn@yahoo.com
thuyquyen@yahoo.com

Asunto, cualquiera de los siguientes:

Re:baby!your friend send this file to you !
Re:Get Password mail...
Re:I Love You...OKE!
Re:Kiss you..
Re:Baby! 2000USD,Win this game...
The Sexy story and 4 sexy picture of BINLADEN !
Re:Binladen_Sexy.jpg
A Greeting-card for you .
Guide to fuck ...
There're some Passwords here
HELP??-
Help

Contenido, cualquiera de los siguientes:

Enjoy! BINLADEN:SEXY..
run File Attach to extract:BinladenSexy.jpg...
Souvenir for you from file attach...
See the Greeting-card .
Play the game from file attach
Help.
Read file attach
Enjoy! BINLADEN:SEXY..
Help...
I like Sexy with you.
Enjoy
Read this file

Anexado, cualquiera de los siguientes:

.Kiss.ok.exe
lovelorn.Kiss.ok.exe
love_lorn.Kiss.ok.exe
Thuyguyen.Kiss.ok.exe
..htm
lovelorn.htm
love_lorn.htm
Thuyguyen.htm
[nombre_de_usuario.exe] del sistema infectado.
[nombre_de_usuario.htm] del sistema infectado.

Al ejecutar el archivo infectado, el gusano se auto-copia a la carpeta %System% con los siguientes nombres:

explorer.exe
kernel32.exe
netdll.dll
sercscg.dll

Igualmente se auto-copia al mismo directorio con los siguientes nombres codificados en Base64:

bsbk.dll
netsn.dll

La codificación Base64 es un complejo diseño de secuencias arbitrarias de octetos en un formato, que no puede ser leído normalmente. Para este propósito se emplea un sub-categoría de 65 caracteres [A-Za-z0-9+/=] de codificación ASCII (American Standard Code for Information Interchange), habilitando 6 bits para poder ser representados por caracteres imprimibles.

El gusano libera en la misma carpeta dos archivos de nombres setup.htm y 11_04_2003.nhq, siento este último auto-eliminado, al parecer por un error se programación.

Para activarse la próxima vez que se inicie el sistema crea las siguientes llaves de registro:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
explorer = %System%\explorer.exe

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al re-iniciarse el sistema, el gusano termina la ejecución de los software antivirus que tengas las cadenas:

BKAV
NAVA
VIRUS

Se copia a las carpetas que tengan la cadena "startup" con el nombre de findfast.exe y genera una copia de sí mismo en las carpetas que contengan archivos .HTM a los que le remplaza su extensión por la de Kiss.ok.exe.

Luego intenta conectarse a un servidor SMTP auto-generado de una cadena de 3 caracteres de las siguientes líneas, a las cuales le agrega la extensión mail.scd.yahoo.com:

2101461221211421271501292061011091661721391
62112111216214192125148133113131135197194111

Si existe un disquete insertado, el gusano se copia a A:\NQH_Kiss_you.exe, solo en el caso que el usuario abra una ventana con los nombres FLOPPY, OPEN, o SAVE.

Asimismo infecta los siguientes programas a los cuales incrementa su extensión en 100 KB:

OUTLOOK.EXE
NETCAPTOR.EXE
MIRC32.EXE
AIM.EXE
YPAGER.EXE
IEXPLORE.EXE
MSIMN.EXE

El gusano contiene una rutina que roba textos que contengan Claves de Acceso en cualquier ventana de programas con los siguientes nombres:

LOGIN
PASSWORD
SIGN IN

Esta información la almacena en un archivo temporal de nombre GH.TXT creado en la carpeta %System% y la envía a la dirección de correo tuiratchancuocdoinay@yahoo_com, la misma que ya ha sido cancelada.

Sus payloads son los siguientes:

Se propaga masivamente en mensajes de correo, haciendo uso de su propio servidor SMTP a los buzones de correo de los archivos .EML, ITEM, BOX, .DBX y HTM.
Termina los procesos de antivirus que contengan 3 cadenas definidas.
Sobre-escribe los archivos HTM, a los cuales remplaza su extensión por la de Kiss.ok.exe.
Infecta diversos programas definidos, a los que agrega 100 KB.
Infecta diskettes.
Roba claves de acceso e intenta enviarlas a una dirección de correo, cuya cuenta ya está cancelada.

PER ANTIVIRUS® versiones 8.0 y 8.1, con registro de virus al 16 de Mayo del 2003 detectan y eliminan eficientemente este gusano.