|
MAPSON, gusano con mensajes en español infecta masivamente vía Correo, P2P,
MSN Messenger y el ICQ.
|
|
©
Jorge Machado Lima-Perú
|
|
W32/Mapson@mm,
W32/Lorraine@mm
Mapson es
un gusano reportado el 08 de Junio del 2003, de alta propagación masiva
a través de mensajes de correo con Asuntos,
Contenidos y archivos Anexados,
elegidos en forma aleatoria. Se difunde además vía el ICQ y las redes Peer to
Peer como Kazaa, Gnucleus,
Grokster,
Morpheus,
edonkey2000
y LimeWire y
del MSN Messenger.
Este gusano infecta Windows
95/98/NT/Me/2000/XP,
incluyendo los servidores NT/2000/Server
2003, está desarrollado en
Borland Delphi, tiene 176.5 KB de extensión y comprimido con el utilitario UPX (Ultimate
Packer
for eXecutables):
http://upx.sourceforge.net
Haciendo uso de las funciones de las librerías MAPI
(Messaging
Application Programming Interface)
se auto-envía a todos los buzones de correo de la Libreta de Direcciones de
MS Outlook
y a la Libreta Global de Windows WAB
(Windows Address Book). También
se envía a los buzones contenidos en el cTmail,
que es el sistema servicio de envío de correo basado en la web,
principalmente de Hotmail.
Los mensajes tienen las
siguientes características.
Remitente, la dirección de correo es remitida desde el sistema
infectado, usando la técnica Email spoofing, que disfraza las de los verdaderos
remitentes y también emplea las direcciones capturadas del sistema:
- bigbrother@bigbrother.tv
- support@hotmail.com
- support@passport.com
- hacker@hotmail.com
- notice@madonna.com
- Anti-Spam@campaña.com
- test@hispasec.com
- Amor@teamo.com
- Latincards@latincards.com
- lorena@hotmail.com
- Maria_fernanda@mfernanda.com
- lacosha@hotmail.com
- Webmaster@vsantiviru.com
- Webmaster@zonaviru.com
- cristina_aguilera@cristina-aguilera.com
- [direcciones_extraídas_del_sistema_infectado]
Asuntos, cualquiera de los siguientes:
- Big Brother te espera
- Su cuenta de hotmail sera eliminada
- 10 reglas de seguridad para su cuenta de hotmail
- seguridad_en_hotmail.pif
- ¿Puedo ser hacker en 24 horas?
- Hackean página de Madonna sospechosa de envenenar KaZaA
- SPAM La proxima gran epidemia
- Tests antivirus para comprobar la protección
- Test de idiotes
- LatinCards
- Te amo
- Re: Dime que te parece
- Recuerda!
- Informate de los virus
- Zona Virus.com tu Zona Antivirica en español
- Cristina Aguilera Puta de medio tiempo o mentira?
- Problema de seguridad en Windows Media Player
- ¿Cómo hackear hotmail?
- ¿Que le atrae a las mujeres?
- Chistes Gráficos
- Test de pasión
- Kamasutra
- Su pareja ideal
- Amor Real...
- Vulnerabilidad Critica en el Msn Messenger
- ¿Cómo puedo crear un virus?
- Virus en Hotmail
- EGG Brother
- Osama Bin Huevo regresa
- El Gran Carnal
- A Dios le pido....
- Antro
- Chupamelo
- Ta grande
- Tengo Sed...
- Mamalo
- para usted
- Alerta de virus
- Necesita comprar un auto?
- Zorras y más zorras
- Matrix Trailer
- ¿Sabe que es GEDZAC?
- ¿Como te gustan?
- ¿?
- Lo que nos enseña la iglesia
- La mejor forma de cortar a un chico
- para tí
- Información sobre Sars
- Para mis amigos
- Eres un perdedor
- Amistad
- Para mis verdaderos amigos
- Para ti nomas
- Necesito su ayuda
- Sexo y más
- Linux se vende a Microsoft!
- Esta si que es puta!
- Tu Soft
- La Virgen María no es virgen
- Música Digital Gratis
- te gusta?
Anexados, cualquiera de los siguientes:
- amigos.pif
- amigototote.pif
- amor-por-ti.pif
- BigBrother.pif
- bugmsn.pif
- chistesgraficos.pif
- chupamelo.pif
- comotegustan.pif
- CracksPPZ.pif
- cristina-aguilera.pif
- defaced-madonna-site.pif
- eggbrother.exe
- EICAX.COM
- existeee.pif
- financiamiento.pif
- friends.pif
- GEDZAC.PIF
- grancarnal.exe
- grande.pif
- hackeahotmail.pif
- historial.pif
- hotmail.pif
- kamasutra.pif
- LatinCard.pif
- linuxandmicrosoft.pif
- Lorenaaaa.pif
- Madonna_sEXY.pif
- mamalo.pif
- MariaVirgen.pif
- Matrix-Trailer.pif
- Música.pif
- No-Spam.exe
- nuevovirus.txt .pif
- Oradores.pif
- osamabinhuevoback.exe
- parejaideal.txt.pif
- petardas.pif
- porqueteamo.pif
- projimo.pif
- relacionsexual.pif
- resetarios.pif
- SARS.pif
- seguridad_en_hotmail.pif
- serhacker.pif
- Shakira.pif
- sindolor.pif
- solo-a-ti.pif
- Spamno.pif
- teamo.exe
- te-pido.scr
- test-idiota.pif
- testpasion.pif
- thalialoca.pif
- TutorialVBSvirus.pif
- WindowsMediaPlayerBug.pif
- www.mfernanda.com
- www.vsantiviru.com
- www.zonaviru.com
- zorrotttas.pif
Contenidos: debido a muchas de las
frases soeces, omitimos los contenidos de los mensajes.
Al ejecutar el archivo, el gusano se
auto-copia a la carpeta %System%
con el nombre de Lorraine.exe y al directorio raíz de C:\
con los siguientes nombres de archivos:
- C:\Lorraine.vxd
- C:\Lorraine.exe
Para ejecutarse la próxima vez que se
inicie el sistema, el gusano crea la siguiente llave de registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"SYSTEMSTART" = "Lorraine.exe"
El gusano crea además en el directorio
raíz, un archivo de nombre lorraine.hta
que no es auto-ejecutable. Sin embargo si es activado manualmente presenta
una ventana que contiene el nombre del virus W32/Lorraine, creado en México
por un miembro del grupo internacional GEZDAC 2003.
%System%
es la variable C:\Windows\System para
Windows 95/98/Me, C:\Winnt\System32 para
Windows NT/2000 y C:\Windows\System32
para Windows XP.
Para infectar a través de las redes Peer
to Peer, el gusano se auto-copia a las carpetas:
- \KaZaA\My Shared Folder
- \edonkey2000\incoming
- \gnucleus\downloads
- \icq\shared files
- \kazaa lite\my shared folders\v
- \limewire\shared
- \morpheus\my shared folder
- \Grokster\My Grokster
Con los nombres de los siguientes archivos:
- Alejandra Guzman.gif.exe
- Angelica Vale.gif.exe
- Brenda.gif.exe
- Britney Spears.gif.exe
- Cameron dias.gif.exe
- Celine Dion.gif.exe
- Desnuda en la playa.gif.exe
- Francini.gif.exe
- Galilea Montijo.gif.exe
- Halle berry.gif.exe
- Kylie Minogue.gif.exe
- las pelotas de.gif.exe
- Laura Pausini.gif.exe
- Lili Brillanti.gif.exe
- Lorena.gif.exe
- Nude Pic.gif.exe
- Paulina Rubio.gif.exe
- Pink.gif.exe
- Sexo en la playa con.gif.exe
- Sexy Beach.gif.exe
- Shakira.gif.exe
- Thalia.gif.exe
- Ad-aware.exe
- Adobe Acrobat Reader (32-bit).exe
- AOL Instant Messenger (AIM).exe
- Biromsoft WebCam.exe
- Copernic Agent.exe
- crack all versions.exe
- Cracked.exe
- Delphi 6.exe
- Diet Kaza.exe
- DirectDVD.exe
- DivX Video Bundle.exe
- Download Accelerator Plus.exe
- FireWorks 4.exe
- FIreWorks MX.exe
- Full version.exe
- Global DiVX Player.exe
- Grokster.exe
- ICQ Lite.exe
- ICQ Pro 2003a beta.exe
- iMesh.exe
- JetAudio Basic.exe
- Kaspersky Antivirus.exe
- Kazaa Download Accelerator.exe
- Kazaa Media Desktop.exe
- KeyGen.exe
- Matrix Movie.exe
- McAfee Antivirus.exe
- Microsoft Internet Explorer.exe
- Microsoft Office XP.exe
- Microsoft Windows 2003.exe
- Microsoft Windows Media Player.exe
- Morpheus.exe
- msn hack.exe
- MSN Messenger (Windows NT/2000).exe
- Nero Burning ROM.exe
- NetPumper.exe
- Network Cable e ADSL Speed.exe
- Norton Antivirus.exe
- Office 2003.exe
- Panda Antivirus.exe
- PerAntivirus.exe
- Pop-Up Stopper.exe
- QuickTime.exe
- RealOne Free Player.exe
- Registry Mechanic.exe
- SnagIt.exe
- SolSuite 2003: Solitaire Card Games Suite.exe
- Spybot - Search & Destroy.exe
- Trillian.exe
- Virtual Girl Sofía.exe
- Visual Studio Net.exe
- Winamp.exe
- WinMX.exe
- WinRAR.exe
- WinZip.exe
- WS_FTP LE (32-bit).exe
- XoloX Ultra.exe
- ZoneAlarm.exe
Los payloads
de este gusano son:
- Se propaga masivamente en mensajes de
correo, con una variedad de Remitentes falsos (Email Spoofing), Asuntos,
Anexados y Contenidos, en forma aleatoria.
- También usa Remitentes extraídos de la
Libreta de Direcciones de MS Outlook, MSN Messenger y Ctmail.
- Ha sido desarrollado en México por un
miembro del grupo de hackers internacionales GEDZAC.
- Infecta a través de la mayoría de redes
Peer to Peer.
- Se propaga además a través del ICQ.
- Intenta saturar Servidores de Correo,
estaciones de trabajo y PC domésticas.
PER
ANTIVIRUS®
versión 8.1 con
registro de virus al 08 de Junio del 2003 detecta y elimina
eficientemente este gusano.
