W32/Mapson o Lorraine

Fecha de Inicio: 02/07/2003
Ultima Modificación: 

Otro de los Gusanos que aparecieron en estos días el Lorraine otra vez esta pagina me ayudo a solucionarlo

 http://virusattack.virusattack.com.ar  

Esta vez lo único que hice fue descargar el antivirus que recomiendan el  NSPCLEAN, de una empresa Italiana esta hecho para solucionar este problema.

Información:  Gusano de internet capaz de reproducirse por correo electrónico y aplicaciones de intercambio de archivos P2P.

Puede recibirse en varios mensajes en Español, algunos con remitente fijo y otros con asunto tomado de la libreta de direcciones del usuario. A continuación se listan todos, primero aquellos con un remitente fijo (ver Desde) y luego los que el remitente es variable:

Desde: [email protected]
Asunto: Big Brother te espera
Cuerpo:
Felicidades! le hemos enviado este E-Mail porque usted ha ganado un pasaje a México al programa Reality show BigBrother,si usted quiere participar en este programa deberá abrir el archivo adjunto.
Adjunto: BigBrother.pif

Desde: [email protected]
Asunto: Su cuenta de hotmail sera eliminada
Cuerpo:
Estimado usuario de hotmail,debido al trafico en el servidor y a las fallas que se han venido presentando en este presente mes,hemos de informarle que su cuenta será removida de nuestra base de datos en menos de 24 horas, le rogamos por favor lea el adjunto con los pasos para evitar que esto suceda. Atentamente el Equipo tecnico de Hotmail.
Adjunto: hotmail.pif

Desde: [email protected]
Asunto: 10 reglas de seguridad para su cuenta de hotmail
Cuerpo:
Amable Usuario de hotmail, la razón de este mail es para darle a conocer las 10 reglas de seguridad que un usuario de passport debe tener en cuenta para evitar que su cuenta sea borrada, hackeada etc...las reglas están en el adjunto.Atentamente equipo tecnico de passport
Adjunto: seguridad_en_hotmail.pif

Desde: [email protected]
Asunto: ¿Puedo ser hacker en 24 horas?
Cuerpo:
No. La respuesta es un no rotundo. Ni en 24 ni en 48 horas :) Pero en este tiempo sí puedes tener una idea aproximada y muy básica de lo que es y de lo que “no es” un hacker y decidir si quieres convertirte en uno de ellos. Te recomiendo que leas el archivo que te mando, esta en español y es muy interesante acerca de estos temas (hacking,cracking,vulnerabilidades).
Adjunto: serhacker.pif

Desde: [email protected]
Asunto: Hackean página de Madonna sospechosa de envenenar KaZaA
Cuerpo:
Tras sospecharse que Madonna contaminó la red KaZaA con algunos archivos envenenados, un grupo hacker ha contraatacado asaltando su página y colgando algunos de los temas de su último álbum en formato MP3.más de esta revelante noticia en el adjunto.
Adjunto: defaced-madonna-site.pif

Desde: Anti-Spam@campaña.com
Asunto: SPAM La proxima gran epidemia
Cuerpo:
El Spam esta avanzando constantemente y a logrado saturar nuestros correos electronicostal vez sea el principio de una epidemia mundial de esta peste que nos tiene cansados de la  publicidad.
Adjunto: No-Spam.exe

Desde: [email protected]
Asunto: Tests antivirus para comprobar la protección del e-mail
Cuerpo:
Hispasec pone a disposición de todos los usuarios dos tests para comprobar el correcto funcionamiento de la protección antivirus del correo electrónico.  El primero de ellos nos indicará la correcta instalación y buen funcionamiento del antivirus, mientras que el segundo determinará la capacidad de detección proactiva para identificar gusanos que explotan vulnerabilidades conocidas.
Adjunto: EICAX.COM

Desde: [email protected]
Asunto: Te amo
Cuerpo:
Lo amo a usted por que es la persona más linda del mundo.
Adjunto: teamo.exe

Desde: [email protected]
Asunto: LatinCards
Cuerpo:
Le han enviado una LatinCard para poder visualizarla abra el adjuntoGracias.
Adjunto: LatinCard.pif

Desde: [email protected]
Asunto: Te Amo
Cuerpo:
Averigua por que.....
Adjunto: porqueteamo.pif

Desde: [email protected]
Asunto: Re: Dime que te parece
Cuerpo:
Hola, como estás? hace tiempo que no se nada de ti... quería hablar contigo sobre un tema.Se trata de mi nuevo portal en el que quiero ofrecer toda mi recopilación de links en espanol.  Me gustaría que le echaras un vistazo y me dijeras que tal lo ves tu, si te gusta o cambiarías algo.
Adjunto: www.mfernanda.com

Desde: [email protected]
Asunto: Recuerda!
Cuerpo:
Espero que siempre me escribas.

Desde: [email protected]
Asunto: Informate de los virus
Cuerpo:
Hola, soy el webmaster de VSANTIVIRUS, estamos realizando una camapaña Contra los virus informaticos y nuestro deber es informarle a los usuarios como usted Que es un virus, las acciones que causan y como desinfectarse.Si usted desea acceder a toda esta información haga el favor de hacer clic en el link que le adjuntamos.Gracias
Adjunto: www.vsantiviru.com

Desde: [email protected]
Asunto: Zona Virus.com tu Zona Antivirica en español
Cuerpo:
Hola, soy el webmaster de zonaviru y quiero invitarlo a visitar mi sitio web, usted podrá informarse sobre los últimos virus aparecidos, también sabrá como se crean estas alimañas informáticas,quienes los crean, como desinfectarse etc... mucha mucha más información.Cuento con su  visita Gracias Atentamente el Webmaster de ZonaVirus
Adjunto: www.zonaviru.com

Desde: [email protected]
Asunto: Cristina Aguilera Puta de medio tiempo o mentira?
Cuerpo:
es la mera neta.
Adjunto: cristina-aguilera.pif

Asunto: Problema de seguridad en Windows Media Player
Cuerpo:
Windows Media Player, el reproductor multimedia que acompaña gratuitamente a los sistemas Microsoft, se ve afectado por un problema de seguridad que puede permitir la ejecución de código en la máquina del usuario atacado.por lo que recomendamos leer más acerca de este bug en el adjunto y aplicar los correspondientes parches de seguridad.
Adjunto: WindowsMediaPlayerBug.pif

Asunto: ¿Cómo hackear hotmail?
Cuerpo:
Hola, he estado buscando en la red y encontré esta guía de hacking que enseña como hackear hotmail,orienta al robo de cuentas, imagínate robarle la cuenta a tu novia, tu amigo etc.. a quien quieras, te lo aseguro yo ya lo leí y lo comprobé, disfrútalo.
Adjunto: hackeahotmail.pif

Asunto: ¿Que le atrae a las mujeres?
Cuerpo:
Un reciente estudio del comportamiento en la mujer afirma que a ellas les atrae de los hombreses la cara, las manos y su movimiento, si quiere saber más lea por favor el articulo que le adjuntamos
Adjunto: mujeres.pif

Asunto: Chistes Gráficos
Cuerpo:
Estos son los chistes gráficos que más me han gustado espero que a ti también.
Adjunto: chistesgraficos.pif

Asunto: Test de pasión
Cuerpo:
Test de pasión para usted y su pareja, contéstelo y descubra cuanto desea y quiere a su pareja.
Adjunto: testpasion.pif

Asunto: RE: Test de idiotes
Cuerpo:
Compruebe si usted es un verdadero idiota.
Adjunto: test-idiota.pif

Asunto: Kamasutra
Cuerpo:
Kamasutra el arte del sexo
Adjunto: kamasutra.pif

Asunto: Su pareja ideal
Cuerpo:
Los 10 consejos para tener una pareja ideal,Léalos y póngalos en practica, le aseguro que tendrá resultadossatisfactorios.
Adjunto: parejaideal.txt.pif

Asunto: Amor Real...
Cuerpo:
en verdad existe?
Adjunto: existeee.pif

Asunto: Vulnerabilidad Critica en el Msn Messenger
Cuerpo:
Una vulnerabilidad critica detectada en el msn messenger podría provocar el robo de su cuenta de correoes importante que lea mas de esta vulnerabilidad para poderse proteger de ella.
Adjunto: bugmsn.pif

Asunto: ¿Cómo puedo crear un virus?
Cuerpo:
Esta pregunta siempre me la han hecho y creo que la voy a responder. Para crear un virus no necesitas saber mucho de computación, con solo conocer Un poco del lenguaje de programación basta, por que no empiezas con el Visual Basic Script, te adjunto un tutorial muy completo acerca de este lenguaje y la creación de virusQue te diviertas.Bye.
Adjunto: TutorialVBSvirus.pif

Asunto: Virus en Hotmail
Cuerpo:
Hola, se a dado una alerta por parte de las empresas antivirus, de un nuevo virus que se expande por hotmail, hasta el momento indetectable para cualquier producto antiviral, por lo que recomiendo leer las precauciones sobre este nuevo gusano informatico. Para más información, favor de leer el documento informativo.
Adjunto: nuevovirus.txt       .pif

Asunto: EGG Brother
Cuerpo:
LA ultima escena de egg brother vivela ya.
Adjunto: eggbrother.exe

Asunto: Osama Bin Huevo regresa
Cuerpo:
Osama bin huevo regresa con una nueva amenaza a los Huevos Unidos de América
Adjunto: osamabinhuevoback.exe

Asunto: El Gran Carnal
Cuerpo:
Mirate que asterisco se tiro encima de doña pepa jeje
Adjunto: grancarnal.exe

Asunto: A Dios le pido....
Cuerpo:
Que si me muero sea de amor y si me enamoro sea de vos....
Adjunto: te-pido.scr

Asunto: Antro
Cuerpo:
Hey sin so sobre tras ya no digas más y despierta la locura!!!
Adjunto: antrox.scr

Asunto: Chupamelo
Cuerpo:
Chupamelo ya... y dime que te parece.
Adjunto: chupamelo.pif

Asunto: Ta grande
Cuerpo:
Lo tengo grande y tú?
Adjunto: grande.pif

Asunto: Tengo Sed...
Cuerpo:
Tengo sed de amor por tí.
Adjunto: amor-por-ti.pif

Asunto: Mamalo
Cuerpo:
Mamalo que ta grande.....
Adjunto: mamalo.pif

Asunto: para usted
Cuerpo:
Si te llego mal, respondeme
Adjunto: historial.pif

Asunto: Alerta de virus
Cuerpo:
Cuidado! este virus es peligroso puede formatearte el disco duro, llega por hotmail sin que te des cuenta, tu podrias estar infectado busca en tu sistema el archivo winlogon.exe, si lo tienes es mejor que utilizes la vacuna que te mando, hazlo cuanto antes!! no esperes!!
Adjunto: antiwinlogon.pif

Asunto: Necesita comprar un auto?
Cuerpo:
Lo mejores planes de financiamiento.
Adjunto: financiamiento.pif

Asunto: Zorras y más zorras
Cuerpo:
Zorritas gratis dandole duro.
Adjunto: zorrotttas.pif

Asunto: Matrix Trailer
Cuerpo:
Chequelo de una vez!! no se lo pierda.
Adjunto: Matrix-Trailer.pif

Asunto: ¿Sabe que es GEDZAC?
Cuerpo:
Por si no sabe que es. una explicación muy precisa para usted.
Adjunto: GEDZAC.PIF

Asunto: ¿Como te gustan?
Cuerpo:
A mi me gustan, altas, bonitas, tetonas, nalgonas y tiernitas pero a ti como te gustan?
Adjunto: comotegustan.pif

Asunto: ¿?
Cuerpo:
Hola necesito tu ayuda con este archivo Gracias
Adjunto: Oradores.pif

Asunto: Lo que nos enseña la iglesia
Cuerpo:
La Iglesia nos enseña a amar, querer al prójimo pero usted deberás lo ama?
Adjunto: projimo.pif

Asunto: La mejor forma de cortar a un chico
Cuerpo:
Las 10 mejores formas para hacer esto menos doloroso.
Adjunto: sindolor.pif

Asunto: para tí
Cuerpo:
Si el adjunto esta defectuoso reenviamelo.
Adjunto: Lorenaaaa.pif

Asunto: Información sobre Sars
Cuerpo:
Ayúdenos a contrarrestar el SARS, por favor aprenda como se contagia y sus efectos.
Adjunto: SARS.pif

Asunto: Para mis amigos
Cuerpo:
De un amigo para un amigo.
Adjunto: amigos.pif

Asunto: Eres un perdedor
Cuerpo:
Eres un perdedor no te atreves ni a mirar la foto que te doy.
Adjunto: Madonna_sEXY.pif

Asunto: Amistad
Cuerpo:
Usted es uno de mis mejores amigos.
Adjunto: friends.pif

Asunto: Spam..
Cuerpo:
Di no al SPAM.
Adjunto: Spamno.pif

Asunto: Para mis verdaderos amigos
Cuerpo:
Te lo mereces, eres un verdadero amigo
Adjunto: amigototote.pif

Asunto: Para ti nomas
Cuerpo:
Para ti y nadie más
Adjunto: solo-a-ti.pif

Asunto: Necesito su ayuda
Cuerpo:
Tengo problemas con este archivo, seria tan amable de revisarlo por mi?
Adjunto: resetarios.pif

Asunto: Sexo y más
Cuerpo:
10 formas para disfrutar de sus relaciones sexuales
Adjunto: relacionsexual.pif

Asunto: Linux se vende a Microsoft!
Cuerpo:
Al parecer Linux murio y se vendio a microsoft
Adjunto: linuxandmicrosoft.pif

Asunto: Esta si que es puta!
Cuerpo:
NO hables más y dime si es puta
Adjunto: Shakira.pif

Asunto: Tu Soft
Cuerpo:
Aquí estan los cracks para los programas que pediste
Adjunto: CracksPPZ.pif

Asunto: La Virgen María no es virgen
Cuerpo:
No me crees? velo tu mismo
Adjunto: MariaVirgen.pif

Asunto: Música Digital Gratis
Cuerpo:
Bájate todas las canciones que quieras.
Adjunto: Música.pif

Asunto: te gusta?
Cuerpo:
espero que te guste, si no es asi dimelo.
Adjunto: thalialoca.pif

Asunto: (vacío)
Cuerpo:
Si el adjunto no funciona respondame lo más antes posible.
Adjunto: petardas.pif

Si se ejecuta el archivo adjunto, muestra el siguiente mensaje:

Error
Archivo Parcialmente Corrupto remplacelo por uno nuevo

Además, genera copias de si mismo, con todos los posibles nombres de archivos adjuntos listados en los mensajes anteriores, en el directorio de sistema.

Luego, sigue con su rutina de infección y reproducción, generando un archivo en el directorio raíz llamado lorraine.hta, el cual contiene referencias al gusano, su autor, y su sitio de internet.

Además, genera una copia de si mismo con el nombre Lorraine.exe en el directorio de sistema (Windows\System o Winnt\System32, dependiendo su sistema operativo), y modifica el registro para ejecutarse con cada inicio, haciendo una referencia a ese archivo, en la siguiente entrada:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
SYSTEMSTART = “Lorraine.exe”

También genera un archivo lorraine.vxd en el directorio raíz del equipo.

Genera varios archivos en los siguientes directorios (si existen), los cuales dependen de Archivos de Programa (o Program Files), para intentar reproducirse a través de aplicaciones de intercambio de archivos P2P:

\KaZaA\My Shared Folder\
\edonkey2000\incoming\
\gnucleus\downloads\
\icq\shared files\
\kazaa lite\my shared folders\
\limewire\shared\
\morpheus\my shared folder\
\Grokster\My Grokster\

Los nombres de los archivos que genera en esos directorios son tomados de unas listas incluidas dentro de su código. Los siguientes se crean con la extensión .gif.exe:

Alejandra Guzman
Angelica Vale
Brenda
Britney Spears
Cameron dias
Celine Dion
Desnuda en la playa
Francini
Galilea Montijo
Halle berry
Kylie Minogue
las pelotas de
Laura Pausini
Lili Brillanti
Lorena
Nude Pic
Paulina Rubio
Pink
Sexo en la playa con
Sexy Beach
Shakira
Thalia

Y estos otros con la extensión .exe:

Ad-aware
Adobe Acrobat Reader (32-bit)
AOL Instant Messenger (AIM)
Biromsoft WebCam
Copernic Agent
crack all versions
Cracked
Delphi 6
Diet Kaza
DirectDVD
DivX Video Bundle
Download Accelerator Plus
FireWorks 4
FIreWorks MX
Full version
Global DiVX Player
Grokster
ICQ Lite
ICQ Pro 2003a beta
iMesh
JetAudio Basic
Kaspersky Antivirus
Kazaa Download Accelerator
Kazaa Media Desktop
KeyGen
Matrix Movie
McAfee Antivirus
Microsoft Internet Explorer
Microsoft Office XP
Microsoft Windows 2003
Microsoft Windows Media Player
Morpheus
msn hack
MSN Messenger (Windows NT/2000)
Nero Burning ROM
NetPumper
Network Cable e ADSL Speed
Norton Antivirus
Office 2003
Panda Antivirus
PerAntivirus
Pop-Up Stopper
QuickTime
RealOne Free Player
Registry Mechanic
SnagIt
SolSuite 2003: Solitaire Card Games Suite
Spybot - Search & Destroy
Trillian
Virtual Girl Sofía
Visual Studio Net
Winamp
WinMX
WinRAR
WinZip
WS_FTP LE (32-bit)
XoloX Ultra
ZoneAlarm

Para recolectar las direcciones a donde se enviará revisa la lista de contactos del MSN Messenger, y sólo se envía a aquellas direcciones que sean de Hotmail.com.

Cada día de Julio muestra uno de los siguientes mensajes:

Lorraine Worm [GEDZAC LABS 2003]
Creado por Falckon/GEDZAC

Lorraine Worm [GEDZAC LABS 2003]
Dedicado a mi G. Lorena R. S. http://www.vsantivirus.com/renalo.htm"

Y, el día 4 de cada mes, muestra el contenido del archivo lorraine.hta en el navegador por defecto del equipo infectado.

1. Vaya a Inicio, Ejecutar..., escriba REGEDIT.EXE y pulse Aceptar.
2. En la ventana del Editor del Registro que se abrirá, vaya a la siguiente clave:
    
   HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    
3. Busque una entrada llamada SYSTEMSTART, con el contenido Lorraine.exe, y eliminela con la tacla SUPR (o DEL).
4. Reinicie el equipo y ejecute un antivirus actualizado.

Future Time S.r.l., distribuidor italiano de antivirus, ha preparado una herramienta que elimina el gusano automáticamente y puede ser descargada desde la siguiente dirección:  

http://www.nod32.it/tools/NSPCLEAN.ZIP

Panda Software ha liberado una versión de su PQRemove para este gusano, que puede ser descargada desde la siguiente dirección:

http://updates.pandasoftware.com/pq/gen/mapson/pqremove.com