Menú

  Buscar
Google

  En:
WWW
LatinoSeguridad

  Importante
  Alerta de virus

W32/Lorraine.C@mm, W32/Mapson.C@mm,
W32/Lorra.C@mm

Lorraine.C es un gusano reportado el 03 de Julio del 2003, variante del gusano Lorraine, de alta propagación masiva a través de mensajes de correo con Asuntos, Contenidos y archivos Anexados, elegidos en forma aleatoria. Se difunde además vía el ICQ, las redes Peer to Peer como Kazaa, Gnucleus, Grokster, Morpheus, edonkey2000, LimeWire y del MSN Messenger.

Al igual que sus versiones anteriores deshabilita antivirus, firewalls y sistemas de control y esta variante intenta descargar un archivo .HTML del website del autor. 

Ha sido creado en México por Facklon, miembro del grupo internacional de creadores de virus GEDZAC 2003 y la muestra obtenida fue enviada desde España (+2 GMT)  

El gusano infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Borland Delphi, tiene 176 KB de extensión y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface) se auto-envía a todos los buzones de correo de la Libreta de Direcciones de MS Outlook y a la Libreta Global de Windows WAB (Windows Address Book). 

También se envía a los buzones contenidos en el cTmail,  el sistema de envío de correo basado en la web. 

Los mensajes tienen las siguientes características:

Remitente, emplea la técnica Spoofing, que disfraza los verdaderos remitentes. Asimismo usa las direcciones extraídas del sistema infectado:

  • bigbrother@bigbrother.tv
  • support@hotmail.com
  • support@passport.com
  • hacker@hotmail.com
  • notice@madonna.com
  • Anti-Spam@campaña.com
  • test@hispasec.com
  • Amor@teamo.com
  • Latincards@latincards.com
  • lorena@hotmail.com
  • Maria_fernanda@mfernanda.com
  • lacosha@hotmail.com
  • Webmaster@vsantiviru.com
  • Webmaster@zonaviru.com
  • cristina_aguilera@cristina-aguilera.com
  • [direcciones_extraídas_del_sistema_infectado]

Asuntos, cualquiera de los siguientes:

  • Alerta por Virus W32/Mapson
  • Re:Reenviamelo de nuevo
  • Re:Quitan cuentas de hotmail
  • Problema de seguridad en Internet Explorer
  • Lista de Hoaxes
  • Para mis amigos
  • Espero que te guste
  • 10 consejos para terminar su noviazgo
  • Herramienta gratuita para eliminar el Mapson
  • Re: Dime que te parece
  • Por que es mi amigo.
  • por que lo vales.
  • Lea el adjunto y enterese
  • Por que su amistad es lo mas importante.
  • Te amo
  • In the last days has gone detecting a new called virus Mapson, already they have been detected various
  • Warning by Virus W32/Mapson
  • They remove accounts of hotmail
  • problem of security in Internet Explorer
  • Fwd:read it an resubmit it to the people that you more love
  • "If it does not bark to you, return it to me
  • Photookosmike.scr
  • Hoax List
  • For my friends
  • I hope that you like
  • the ten steps for.....
  • ten counsels to finish with its boyfriend
  • the msn 6 violates our privacy
  • tell me that it seems
  • Read with attention
  • So that he is my friend
  • so that it bonds
  • Documents
  • So that its friendship is but the important thing.
  • I love you

Anexados, cualquiera de los siguientes:

  • NSPCLEAN.exe
  • bromas.scr
  • pasos.pif
  • IEXPLORERSTACK.pif
  • amor_real.pif
  • fotokosmiko.scr
  • hoax-list.com
  • OsamaBinLadenJokes.scr
  • Cards.exe
  • carta_de_amor.exe
  • consejos-noviazgo.exe
  • Anti-Worm.exe
  • animation-simpsons.scr
  • realidades.pif
  • porque-lo-quiero.pif
  • documents.scr
  • loValoroMucho.scr
  • amor-eterno.pif
  • amigos-por-siempre.exe
  • NSPCLEAN.exe
  • jokess.scr
  • steps.pif
  • IEXPLORER_STACK.pif
  • real_love.scr
  • Photookosmike.scr
  • hoax-list.com
  • OsamaBinLadenJokes.scr
  • Cards_love.pif
  • sexual_steps.pif
  • counsels.pif
  • analysis_mzn6.pif
  • animation-simpsons.scr
  • reality_dreams.pif
  • my_best_friend.pif
  • friends.pif
  • documents.scr
  • Ivalue-much.pif
  • love-forever.pif

Contenidos, uno de los siguientes: 

  • En los últimos días se ha ido detectando un nuevo
    virus llamado Mapson, ya se han detectado varios
    infectados de este gusano, si usted se encuentra
    infectado podrá remover este gusano con esta
    herramienta gratuita que le hemos enviado, una
    vacuna que hemos diseñado especialmente para
    usuarios de hotmail, si usted esta de acuerdo
    haga clic en el adjunto para empezar el scaneo y
    eliminar este despreciable gusano de su maquina.
    Gracias.
  • Si te gusto reenviamelo.
  • Al parecer hotmail ya esta muy saturado de
    usuarios y amenazan con quitar cuentas, pero se
    puede evitar siguiendo unos pasos, léelos y no
    tendrás problemas, chau
  • Un problema de seguridad a sido detectado en
    Internet Explorer se recomienda aplicar los
    correspondientes parches ya que esta vulnerabilidad
    puede permitir la ejecución arbitraria de código en
    la maquina afectada, para saber mas acerca de esta
    vulnerabilidad favor de leer el documento y así
    prevenir el ataque de un virus informativo
  • Si el documento expone lo que sientes hacia otra
    persona, reenvíalo a tus amigos y un sueño se hará
    realidad.
  • Si no te late, devuTlvemelo
  • Te envío una lista de hoaxes, virus falsos, para
    que estés prevenido y no hagas caso a las mentiras,
    chau cuídate
  • Los mejores chistes que tengo, disfrutenlos  

Al ejecutar el archivo el gusano se copia al directorio raíz como C:\mark.vxd y a la carpeta %System% con los siguientes nombres:

  • analysis_mzn6.pif
  • animation-simpsons.scr
  • Cards_love.pif
  • counsels.pif
  • documents.scr
  • friends.pif
  • hoax-list.com
  • IEXPLORER_STACK.pif
  • lvalue-much.pif
  • jokess.scr
  • Lorena.exe
  • love-forever.pif
  • my_best_friend.pif
  • NSPCLEAN.exe
  • OsamaBinLadenJokes.scr
  • Photookosmike.scr
  • real_love.scr
  • reality_dreams.pif
  • sexual_steps.pif
  • steps.pif 

Para ejecutarse la próxima vez que se inicie el sistema, el gusano crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 
"Load32" = "%System%\Lorena.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Una vez activado, el gusano terminará los procesos de los siguientes antivirus o firewalls que se encuentren instalados en el sistema infectado:

  • _AVP32.exe
  • _AVPCC.exe
  • _AVPM.exe
  • ADVXDWIN.exe
  • AGENTW.EXE
  • ALERTSVC.exe
  • ALOGSERV.exe
  • AMON9X.exe
  • ANTI-TROJAN
  • ANTS.exe
  • APVXDWIN.exe
  • ATCON.exe
  • ATUPDATER.exe
  • ATWATCH.exe
  • AUTODOWN.exe
  • AVCONSOL.exe
  • AVGCC32.exe
  • AVGCTRL.exe
  • AVGSERV.exe
  • AVGSERV9.exe
  • AVGW.exe
  • AVKPOP.exe
  • AVKSERV.exe
  • AVKSERVICE.exe
  • AVKWCTL9
  • AVP32.exe
  • AVPCC.exe
  • AVPM.exe
  • AVPM.EXE
  • AVSCHED32.exe
  • AVSYNMGR.exe
  • PAV.EXE
  • AVWINNT.EXE
  • AVXMONITOR9X
  • AVXMONITORNT
  • AVXQUAR.exe
  • AVXQUAR.EXE
  • AVXW.exe
  • BLACKD.exe
  • BLACKICE.exe
  • CCAPP.EXE
  • CCEVTMGR.EXE
  • CCPXYSVC.EXE
  • ETRUSTCIPE.EXE
  • EVPN.EXE
  • EXPERT.exe
  • F-AGNT95.exe
  • FAMEH32.exe
  • F-PROT.exe
  • F-PROT95.exe
  • FP-WIN.exe
  • FRW ERV.exe
  • IOMON98.exe
  • NAV AUTO-PRO
  • NAVAP.EXE
  • NAVAPSVC.EXE
  • Navapw32.exe
  • NAVENGNAV.EXE
  • NAVLU32.EXE
  • NAVW32.EXE
  • NAVWNT.EXE
  • NDD32.EXE
  • NPSSVC.EXE
  • NSCHED32.EXE
  • PCCIOMON.EXE
  • PCCNTMON.EXE
  • PCCWIN97.EXE
  • PCCWIN98.EXE
  • PCSCAN.EXE
  • PERSFW.EXE
  • PERSWF.EXE
  • POP3TRAP.EXE
  • RAV7.EXE
  • VPC32.EXE
  • VPTRAY.EXE
  • VSCHED.EXE
  • AVCONSOL.EXE
  • VSECOMR.EXE
  • VSHWIN32.EXE
  • VSMAIN.EXE
  • VSMON.EXE
  • VSSTAT.EXE
  • ZONEALARM.EXE
  • ICLOAD95.EXE
  • ICMON.EXE
  • ICSUPP95.EXE
  • ICLOADNT.EXE
  • ICSUPPNT.EXE
  • IFACE.EXE
  • Regedit.EXE
  • Regedit.com
  • msconfig.EXE
  • sfc.EXE
  • sysedit.EXE
  • regedt32.EXE
  • NSPCLEAN.exe
  • taskmgr.exe
  • CCAPP.EXE 

Para infectar a través de las redes Peer to Peer, el gusano se auto-copia a las carpetas: 

  • \KaZaA\My Shared Folder
  • \edonkey2000\incoming
  • \gnucleus\downloads
  • \icq\shared files
  • \kazaa lite\my shared folders\v
  • \limewire\shared
  • \morpheus\my shared folder
  • \Grokster\My Grokster

Con los nombres de los siguientes archivos:

  • Alejandra Guzman.gif.exe
  • Angelica Vale.gif.exe
  • Brenda.gif.exe
  • Britney Spears.gif.exe
  • Cameron dias.gif.exe
  • Celine Dion.gif.exe
  • Desnuda en la playa.gif.exe
  • Francini.gif.exe
  • Galilea Montijo.gif.exe
  • Halle berry.gif.exe
  • Kylie Minogue.gif.exe
  • las pelotas de.gif.exe
  • Laura Pausini.gif.exe
  • Lili Brillanti.gif.exe
  • Lorena.gif.exe
  • Nude Pic.gif.exe
  • Paulina Rubio.gif.exe
  • Pink.gif.exe
  • Sexo en la playa con.gif.exe
  • Sexy Beach.gif.exe
  • Shakira.gif.exe
  • Thalia.gif.exe
  • Ad-aware.exe
  • Adobe Acrobat Reader (32-bit).exe
  • AOL Instant Messenger (AIM).exe
  • Biromsoft WebCam.exe
  • Copernic Agent.exe
  • crack all versions.exe
  • Cracked.exe
  • Delphi 6.exe
  • Diet Kaza.exe
  • DirectDVD.exe
  • DivX Video Bundle.exe
  • Download Accelerator Plus.exe
  • FireWorks 4.exe
  • FIreWorks MX.exe
  • Full version.exe
  • Global DiVX Player.exe
  • Grokster.exe
  • ICQ Lite.exe
  • ICQ Pro 2003a beta.exe
  • iMesh.exe
  • JetAudio Basic.exe
  • Kaspersky Antivirus.exe
  • Kazaa Download Accelerator.exe
  • Kazaa Media Desktop.exe
  • KeyGen.exe
  • Matrix Movie.exe
  • McAfee Antivirus.exe
  • Microsoft Internet Explorer.exe
  • Microsoft Office XP.exe
  • Microsoft Windows 2003.exe
  • Microsoft Windows Media Player.exe
  • Morpheus.exe
  • msn hack.exe
  • MSN Messenger (Windows NT/2000).exe
  • Nero Burning ROM.exe
  • NetPumper.exe
  • Network Cable e ADSL Speed.exe
  • Norton Antivirus.exe
  • Office 2003.exe
  • Panda Antivirus.exe
  • PerAntivirus.exe
  • Pop-Up Stopper.exe
  • QuickTime.exe
  • RealOne Free Player.exe
  • Registry Mechanic.exe
  • SnagIt.exe
  • SolSuite 2003: Solitaire Card Games Suite.exe
  • Spybot - Search & Destroy.exe
  • Trillian.exe
  • Virtual Girl Sofía.exe
  • Visual Studio Net.exe
  • Winamp.exe
  • WinMX.exe
  • WinRAR.exe
  • WinZip.exe
  • WS_FTP LE (32-bit).exe
  • XoloX Ultra.exe
  • ZoneAlarm.exe

Los días 04 de cualquier mes el gusano crea en el directorio raíz, un archivo de nombre lorraine.c.hta que no es auto-ejecutable. Sin embargo, si es activado manualmente presenta una de las dos siguientes cajas de diálogo:

 

El gusano intenta descargar un archivo .HTML desde esta dirección:

http://www.gratisweb.com/falckon/index.html

Los payloads de este gusano son:

  • Se propaga masivamente en mensajes de correo, con una variedad de Remitentes falsos (Email Spoofing), Asuntos, Anexados y Contenidos, en forma aleatoria. 
  • También usa Remitentes extraídos de la Libreta de Direcciones de MS Outlook, MSN Messenger y Ctmail.
  • Ha sido desarrollado en México por un miembro del grupo de hackers internacionales GEDZAC.
  • Infecta a través de la mayoría de redes Peer to Peer.
  • Se propaga además a través del ICQ.
  • Crea un archivo con extensión .HTA que si es ejecutado manualmente muestra una de dos cajas de diálogo con el nombre del virus, el autor y el grupo de hackers al cual pertenece. 
  • Intenta descargar un archivo .HTML de la página del autor del gusano.
  • Intenta saturar Servidores de Correo, estaciones de trabajo y PC domésticas.

Fuente: PER
 

Webmaster: 

webmaster@latinoseguridad.com

Ventas: 

joseluis@latinoseguridad.com

Sugerencias 

joseluis@latinoseguridad.com

Grupo Corporativo Diamante | Copyright © 2000 - 2003 | Todos los derechos reservados