Menú

  Buscar
Google

  En:
WWW
LatinoSeguridad

  Importante
  Alerta de virus

W32.Lohack.C@mm, I worm-Lohack.c@mm

Lohack.C es un gusano reportado el 22 de Julio del 2003, variante del Lohack, de alta propagación masiva a través de mensajes de correo con un Asunto, Contenido y archivo Anexado, relacionado a una supuesta actualización para todas las versiones de MS Windows. Se difunde además vía las Redes con recursos compartidos P2P Kazaa e Imesh.  

Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface) se auto-envía a todos los buzones de correo de la Libreta de Direcciones de MS Outlook, así como las extraídas de archivos de diversas extensiones dentro del sistema infectado.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Visual C++, con una extensión de 44 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

La muestra fue enviada desde España (+2 GMT). El mensaje tiene estas características:

 

Al hacer click en el archivo anexado, se auto-copia a las carpetas de descarga de KaZaA e iMesh con los siguientes nombres de archivos:

  • Microsoft Excel Password Recovery (All Versions).exe
  • Microsoft Word Password Recovery (All Versions).exe
  • Microsoft Access Password Recovery (All Versions).exe
  • Microsoft Office Password Recovery (All Versions).exe
  • Windows Screen Saver Password Recovery (All Versions).exe
  • RAR Password Recovery.exe
  • ZIP Password Recovery.exe
  • ICQ Password Recovery (All Versions).exe
  • Emulator Downlaoder.exe
  • XBox Secrets.exe
  • Microsoft Office XP Key Generator.exe
  • Norton Antivirus 2003 Beta Downloader.exe
  • Age of Empires 2 Crack.exe
  • ICQ Banner Remover.exe
  • KaZaA Spyware Remover.exe
  • DivX Lastest Beta.exe
  • DivX.exe
  • KaZaA 2.0 Lastest Beta.exe
  • Xuxa nua.exe
  • Tiazinha nua.exe
  • Britney Spears Nude.exe
  • WinRar and Crack.exe
  • WinZip 8.0 and Serial.exe
  • MIB episode 2 Downloader.exe
  • GTA3 Secrets.exe
  • GTA3 Crack.exe
  • Half-life Secrets.exe
  • Warcraft 3 Secrets.exe
  • Quake 4 Lastest Beta.exe
  • Windows Secrets.exe
  • Windows (All Versions) Key Generator.exe
  • Windows XP Crack.exe
  • Windows XP Serial Generator.exe
  • Windows XP Key Generator.exe
  • XBox Emulator.exe

Este gusano tiene tres rutinas consecutivas que se ejecutan tan solo una vez. A menos que el usuario haga doble click nuevamente en el archivo infectado. 

Crea un archivo de acceso directo con los nombres de los archivos mencionados, hacia un portal de intercambio de virus.

Para el envío masivo de mensajes, revisa el contenido de las unidades de discos C: y D y extrae las direcciones de de correo en los archivos con las siguientes extensiones:

  • *.idx
  • *.nch
  • *.mdx
  • *.dbx
  • *.msg
  • *.eml
  • *.txt
  • *.htm

Inmediatamente procede a su rutina de envío masivo de mensajes de correo por medio de las librerías MAPI.

Los payloads de este gusano son:

  • Se propaga masivamente en mensajes de correo, con un Asunto, Contenido y archivo Anexado relacionados a un supuesta actualización de todas la versiones de MS Windows.
  • Usa la Libreta de Direcciones de MS Outlook.
  • También usa Remitentes extraídos de archivos de varias extensiones del sistema infectado. 
  • Infecta a través de la red Peer to Peer Kazaa e iMesh.
  • Intenta saturar Servidores de Correo, estaciones de trabajo y PC domésticas.

Fuente: PER
 

Webmaster: 

webmaster@latinoseguridad.com

Ventas: 

joseluis@latinoseguridad.com

Sugerencias 

joseluis@latinoseguridad.com

Grupo Corporativo Diamante | Copyright © 2000 - 2003 | Todos los derechos reservados