Summary

Mapson is a worm spreading via the Internet being attached to infected emails and through file sharing networks and folders. It was found in the wild in the beginning of June 2003.

Additional Details

The worm's file is a Windows PE executable compressed with UPX file comprssor. The worm is written in Borland Delphi 6.0.

When the worm's file is run, it installs itself to system. It copies itself to Windows system directory with the "Lorraine.exe" name and creates a startup keyt for that file in System Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Lorraine = %WinSysDir%\Lorraine.exe
The worm also copies itself to C: root directory with the "Lorraine_vxd" name and also it copies itself to Windows system directory with following names:

amigos.pif amigototote.pif amor-por-ti.pif antiwinlogon.pif antrox.scr BigBrother.pif bugmsn.pif chistesgraficos.pif chupamelo.pif comotegustan.pif CracksPPZ.pif cristina-aguilera.pif defaced-madonna-site.pif eggbrother.exe EICAX.COM existeee.pif financiamiento.pif GEDZAC.PIF grancarnal.exe grande.pif hackeahotmail.pif historial.pif hotmail.pif kamasutra.pif lacosha@hotmail.com LatinCard.pif linuxandmicrosoft.pif Lorenaaaa.pif Madonna_sEXY.pif MariaVirgen.pif Matrix-Trailer.pif mujeres.pif Mêsica.pif No-Spam.exe nuevovirus.txt .pif Oradores.pif osamabinhuevoback.exe parejaideal.txt.pif petardas.pif porqueteamo.pif projimo.pif relacionsexual.pif resetarios.pif SARS.pif seguridad_en_hotmail.pif serhacker.pif Shakira.pif solo-a-ti.pif Spamno.pif te-pido.scr teamo.exe test-idiota.pif testpasion.pif thalialoca.pif TutorialVBSvirus.pif WindowsMediaPlayerBug.pif www.mfernanda.com www.vsantiviru.com www.zonaviru.com zorrotttas.pif
To send infected messages the worm uses its own SMTP engine. The worm gets email addresses from MSN Messenger contact list (up to 2000 emails). The infected messages have plain text format, and the worm activates from infected email only in case a user clicks on an attached file. Subject, bodies and attachment names in an infected message vary. The worm is capable of faking the sender's e-mail address in an infected message.

The worm can send the following email messages:

From: bigbrother@bigbrother.tv Subject: Big Brother te espera Attachment: BigBrother.pif Body: Felicidades! le hemos enviado este E-Mail porque usted ha ganado un pasaje a México al programa Reality show BigBrother,si usted quiere participar en este programa deberá abrir el archivo adjunto.
or

From: support@hotmail.com Subject: Su cuenta de hotmail sera eliminada Attachment: hotmail.pif Body: Estimado usuario de hotmail,debido al trafico en el servidor y a las fallas que se han venido presentando en este presente mes,hemos de informarle que su cuenta será removida de nuestra base de datos en menos de 24 horas, le rogamos por favor lea el adjunto con los pasos para evitar que esto suceda. Atentamente el Equipo tecnico de Hotmail.
or

From: support@passport.com Subject: 10 reglas de seguridad para su cuenta de hotmail Attachment: seguridad_en_hotmail.pif Body: Amable Usuario de hotmail, la razón de este mail es para darle a conocer las 10 reglas de seguridad que un usuario de passport debe tener en cuenta para evitar que su cuenta sea borrada, hackeada etc...las reglas están en el adjunto.Atentamente equipo tecnico de passport
or

From: hacker@hotmail.com Subject: ¿Puedo ser hacker en 24 horas? Attachment: serhacker.pif Body: No. La respuesta es un no rotundo. Ni en 24 ni en 48 horas :) Pero en este tiempo sí puedes tener una idea aproximada y muy básica de lo que es y de lo que “no es” un hacker y decidir si quieres convertirte en uno de ellos. Te recomiendo que leas el archivo que te mando, esta en español y es muy interesante acerca de estos temas (hacking,cracking,vulnerabilidades).
or

From: "real email" Subject: Problema de seguridad en Windows Media Player Attachment: WindowsMediaPlayerBug.pif Body: Windows Media Player, el reproductor multimedia que acompaña gratuitamente a los sistemas Microsoft, se ve afectado por un problema de seguridad que puede permitir la ejecución de código en la máquina del usuario atacado.por lo que recomendamos leer más acerca de este bug en el adjunto y aplicar los correspondientes parches de seguridad.
or

From: "real email" Subject: ¿Cómo hackear hotmail? Attachment: hackeahotmail.pif Body: Hola, he estado buscando en la red y encontré esta guía de hacking que enseña como hackear hotmail,orienta al robo de cuentas, imagínate robarle la cuenta a tu novia, tu amigo etc.. a quien quieras, te lo aseguro yo ya lo leí y lo comprobé, disfrútalo.
or

From: notice@madonna.com Subject: Hackean página de Madonna sospechosa de envenenar KaZaA Attachment: defaced-madonna-site.pif Body: Tras sospecharse que Madonna contaminó la red KaZaA con algunos archivos envenenados, un grupo hacker ha contraatacado asaltando su página y colgando algunos de los temas de su último álbum en formato MP3.más de esta revelante noticia en el adjunto.
or

From: "real email" Subject: ¿Que le atrae a las mujeres? Attachment: mujeres.pif Body: Un reciente estudio del comportamiento en la mujer afirma que a ellas les atrae de los hombreses la cara, las manos y su movimiento, si quiere saber más lea por favor el articulo que le adjuntamos
or

From: Anti-Spam@campaña.com Subject: SPAM La proxima gran epidemia Attachment: No-Spam.exe Body: El Spam esta avanzando constantemente y a logrado saturar nuestros correos electronicostal vez sea el principio de una epidemia mundial de esta peste que nos tiene cansados de la publicidad.
or

From: test@hispasec.com Subject: Tests antivirus para comprobar la protección del e-mail Attachment: EICAX.COM Body: Hispasec pone a disposición de todos los usuarios dos tests para comprobar el correcto funcionamiento de la protección antivirus del correo electrónico. El primero de ellos nos indicará la correcta instalación y buen funcionamiento del antivirus, mientras que el segundo determinará la capacidad de detección proactiva para identificar gusanos que explotan vulnerabilidades conocidas.
or

From: Amor@teamo.com Subject: Te amo Attachment: teamo.exe Body: Lo amo a usted por que es la persona más linda del mundo.
or

From: Latincards@latincards.com Subject: LatinCards Attachment: LatinCard.pif Body: Le han enviado una LatinCard para poder visualizarla abra el adjuntoGracias.
or

From: "real email" Subject: Chistes Gráficos Attachment: chistesgraficos.pif Body: Estos son los chistes gráficos que más me han gustado espero que a ti también.
or

From: lorena@hotmail.com Subject: Te Amo Attachment: porqueteamo.pif Body: Averigua por que.....
or

From: "real email" Subject: Test de pasión Attachment: testpasion.pif Body: Test de pasión para usted y su pareja, contéstelo y descubra cuanto desea y quiere a su pareja.
or

From: Maria_fernanda@mfernanda.com Subject: Re: Dime que te parece Attachment: www.mfernanda.com Body: Hola, como estás? hace tiempo que no se nada de ti... quería hablar contigo sobre un tema.Se trata de mi nuevo portal en el que quiero ofrecer toda mi recopilación de links en espanol. Me gustaría que le echaras un vistazo y me dijeras que tal lo ves tu, si te gusta o cambiarías algo.
or

From: "real email" Subject: RE: Test de idiotes Attachment: test-idiota.pif Body: Compruebe si usted es un verdadero idiota.
or

From: "real email" Subject: Kamasutra Attachment: kamasutra.pif Body: Kamasutra el arte del sexo
or

From: "real email" Subject: Su pareja ideal Attachment: parejaideal.txt.pif Body: Los 10 consejos para tener una pareja ideal,Léalos y póngalos en practica, le aseguro que tendrá resultadossatisfactorios.
or

From: "real email" Subject: Amor Real... Attachment: existeee.pif Body: en verdad existe?
or

From: support@passport.com Subject: Vulnerabilidad Critica en el Msn Messenger Attachment: bugmsn.pif Body: Una vulnerabilidad critica detectada en el msn messenger podría provocar el robo de su cuenta de correoes importante que lea mas de esta vulnerabilidad para poderse proteger de ella.
or

From: "real email" Subject: ¿Cómo puedo crear un virus? Attachment: TutorialVBSvirus.pif Body: Esta pregunta siempre me la han hecho y creo que la voy a responder. Para crear un virus no necesitas saber mucho de computación, con solo conocer Un poco del lenguaje de programación basta, por que no empiezas con el Visual Basic Script, te adjunto un tutorial muy completo acerca de este lenguaje y la creación de virusQue te diviertas.Bye.
or

From: Webmaster@vsantiviru.com Subject: Informate de los virus Attachment: www.vsantiviru.com Body: Hola, soy el webmaster de VSANTIVIRUS, estamos realizando una camapaña Contra los virus informaticos y nuestro deber es informarle a los usuarios como usted Que es un virus, las acciones que causan y como desinfectarse.Si usted desea acceder a toda esta información haga el favor de hacer clic en el link que le adjuntamos.Gracias
or

From: Webmaster@zonaviru.com Subject: Zona Virus.com tu Zona Antivirica en español Attachment: www.zonaviru.com Body: Hola, soy el webmaster de zonaviru y quiero invitarlo a visitar mi sitio web, usted podrá informarse sobre los últimos virus aparecidos, también sabrá como se crean estas alimañas informáticas,quienes los crean, como desinfectarse etc... mucha mucha más información.Cuento con su visita Gracias Atentamente el Webmaster de ZonaVirus
or

From: "real email" Subject: Virus en Hotmail Attachment: nuevovirus.txt .pif Body: Hola, se a dado una alerta por parte de las empresas antivirus, de un nuevo virus que se expande por hotmail, hasta el momento indetectable para cualquier producto antiviral, por lo que recomiendo leer las precauciones sobre este nuevo gusano informatico. Para más información, favor de leer el documento informativo.
or

From: cristina_aguilera@cristina-aguilera.com Subject: Cristina Aguilera Puta de medio tiempo o mentira? Attachment: cristina-aguilera.pif Body: es la mera neta.
or

From: "real email" Subject: EGG Brother Attachment: eggbrother.exe Body: LA ultima escena de egg brother vivela ya.
or

From: "real email" Subject: Osama Bin Huevo regresa Attachment: osamabinhuevoback.exe Body: Osama bin huevo regresa con una nueva amenaza a los Huevos Unidos de América
or

From: "real email" Subject: El Gran Carnal Attachment: grancarnal.exe Body: Mirate que asterisco se tiro encima de doña pepa jeje
or

From: "real email" Subject: A Dios le pido.... Attachment: te-pido.scr Body: Que si me muero sea de amor y si me enamoro sea de vos....
or

From: "real email" Subject: Antro Attachment: antrox.scr Body: Hey sin so sobre tras ya no digas más y despierta la locura!!!
or

From: "real email" Subject: Chupamelo Attachment: chupamelo.pif Body: Chupamelo ya... y dime que te parece.
or

From: "real email" Subject: Ta grande Attachment: grande.pif Body: Lo tengo grande y tú?
or

From: "real email" Subject: Tengo Sed... Attachment: amor-por-ti.pif Body: Tengo sed de amor por tí.
or

From: "real email" Subject: para usted Attachment: historial.pif Body: Si te llego mal, respondeme
or

From: "real email" Subject: "empty" Attachment: petardas.pif Body: Si el adjunto no funciona respondame lo más antes posible
or

From: "real email" Subject: Alerta de virus Attachment: antiwinlogon.pif Body: Cuidado! este virus es peligroso puede formatearte el disco duro, llega por hotmail sin que te des cuenta, tu podrias estar infectado busca en tu sistema el archivo winlogon.exe, si lo tienes es mejor que utilizes la vacuna que te mando, hazlo cuanto antes!! no esperes!!
or

From: "real email" Subject: Necesita comprar un auto? Attachment: financiamiento.pif Body: Lo mejores planes de financiamiento.
or

From: "real email" Subject: Zorras y más zorras Attachment: zorrotttas.pif Body: Zorritas gratis dandole duro.
or

From: "real email" Subject: Matrix Trailer Attachment: Matrix-Trailer.pif Body: Chequelo de una vez!! no se lo pierda.
or

From: "real email" Subject: ¿Sabe que es GEDZAC? Attachment: GEDZAC.PIF Body: Por si no sabe que es. una explicación muy precisa para usted.
or

From: "real email" Subject: Como te gustan? Attachment: comotegustan.pif Body: A mi me gustan, altas, bonitas, tetonas, nalgonas y tiernitas pero a ti como te gustan?
or

From: "real email" Subject: ¿? Attachment: Oradores.pif Body: Hola necesito tu ayuda con este archivo Gracias
or

From: "real email" Subject: Lo que nos enseña la iglesia Attachment: projimo.pif Body: La Iglesia nos enseña a amar, querer al prójimo pero usted deberás lo ama?
or

From: "real email" Subject: para tí Attachment: Lorenaaaa.pif Body: Si el adjunto esta defectuoso reenviamelo.
or

From: "real email" Subject: Información sobre Sars Attachment: SARS.pif Body: Ayúdenos a contrarrestar el SARS, por favor aprenda como se contagia y sus efectos.
or

From: "real email" Subject: Para mis amigos Attachment: amigos.pif Body: De un amigo para un amigo.
or

From: "real email" Subject: Eres un perdedor Attachment: Madonna_sEXY.pif Body: Eres un perdedor no te atreves ni a mirar la foto que te doy.
or

From: "real email" Subject: Spam.. Attachment: Spamno.pif Body: Di no al SPAM.
or

From: "real email" Subject: Para mis verdaderos amigos Attachment: amigototote.pif Body: Te lo mereces, eres un verdadero amigo
or

From: "real email" Subject: Para ti nomas Attachment: solo-a-ti.pif Body: Para ti y nadie más
or

From: "real email" Subject: Necesito su ayuda Attachment: resetarios.pif Body: Tengo problemas con este archivo, seria tan amable de revisarlo por mi?
or

From: "real email" Subject: Sexo y más Attachment: relacionsexual.pif Body: 10 formas para disfrutar de sus relaciones sexuales
or

From: "real email" Subject: Linux se vende a Microsoft! Attachment: linuxandmicrosoft.pif Body: Al parecer Linux murio y se vendio a microsoft
or

From: "real email" Subject: Recuerda! Attachment: lacosha@hotmail.com Body: Espero que siempre me escribas.
or

From: "real email" Subject: Esta si que es puta! Attachment: Shakira.pif Body: NO hables más y dime si es puta
or

From: "real email" Subject: Tu Soft Attachment: CracksPPZ.pif Body: Aquí estan los cracks para los programas que pediste
or

From: "real email" Subject: La Virgen María no es virgen Attachment: MariaVirgen.pif Body: No me crees? velo tu mismo
or

From: "real email" Subject: Música Digital Gratis Attachment: Música.pif Body: Bájate todas las canciones que quieras.
or

From: "real email" Subject: te gusta? Attachment: thalialoca.pif Body: espero que te guste, si no es asi dimelo.


There are also three more variants of infected emails, but they are not used because of a bug in the worm's code:

Subject: Mamalo Attachment: mamalo.pif Body: Mamalo que ta grande.....
Subject: La mejor forma de cortar a un chico Attachment: sindolor.pif Body: Las 10 mejores formas para hacer esto menos doloroso.
Subject: Amistad Attachment: friends.pif Body: Usted es uno de mis mejores amigos.


The worm also spreads via a few popular file sharing networks: Kazaa, E-Donkey, Gnunella, Limewire, Morpheus, Grokster. It copies itself to following P2P file sharing network and to shared directories:

\KaZaA\My Shared Folder\ \edonkey2000\incoming\ \gnucleus\downloads\ \icq\shared files\ \kazaa lite\my shared folders\ \limewire\shared\ \morpheus\my shared folder\ \Grokster\My Grokster\
The worm copies have names that are composed using the following combinations:

"Sexy Bikini" + "Galilea Montijo" + ".gif .exe" "Sexo en la playa con" "Shakira" "las pelotas de" "Britney Spears" "Desnuda en la playa" "Lorena" "Nude Pic" "Halle berry" "Sexy Beach" "Cameron dias" "Pink" "Thalia" "Paulina Rubio" "Francini" "Brenda" "Celine Dion" "Kylie Minogue" "Laura Pausini" "Lili Brillanti" "Angelica Vale" "Alejandra Guzman"


"Kazaa Media Desktop" + " Cracked.exe" "ICQ Lite" " crack all versions.exe" "WinZip" " .exe" "iMesh" " KeyGen.exe" "AOL Instant Messenger (AIM)" " Fullversion.exe" "ICQ Pro 2003a beta" "Morpheus" "Ad-aware" "Trillian" "Download Accelerator Plus" "ZoneAlarm" "Grokster" "WinRAR" "DivX Video Bundle" "RealOne Free Player" "NetPumper" "Adobe Acrobat Reader (32-bit)" "JetAudio Basic" "WS_FTP LE (32-bit)" "SnagIt" "Registry Mechanic" "WinMX" "MSN Messenger (Windows NT/2000)" "Biromsoft WebCam" "Nero Burning ROM" "Microsoft Windows Media Player" "Spybot - Search & Destroy" "Copernic Agent" "Winamp" "Diet Kaza" "SolSuite 2003: Solitaire Card Games Suite" "Pop-Up Stopper" "QuickTime" "XoloX Ultra" "Microsoft Internet Explorer" "Network Cable e ADSL Speed" "Kazaa Download Accelerator" "Global DiVX Player" "DirectDVD" "Kaspersky Antivirus" "PerAntivirus" "Norton Antivirus" "Panda Antivirus" "McAfee Antivirus" "Microsoft Office XP" "Microsoft Windows 2003" "Office 2003" "Visual Studio Net" "Delphi 6" "msn hack" "Matrix Movie" "Virtual Girl Sofía" "FireWorks 4" "FIreWorks MX"
For example the worm's file names can have the following names:

"Sexy Bikini Galilea Montijo.gif .exe" "Sexy Bikini Shakira.gif .exe" "Kazaa Media Desktop Cracked.exe" "Kazaa Media Desktop crack all versions.exe"
When infected messages are sent, the worm plays the standard "system start" sound.

Mapson worm creates the "C:\lorraine.hta" file, writes the HTML message there and on 4th of each month opens it:

Lorraine Worm [GEDZAC LABS 2003] W32/Lorraine - Gedzac Labs 2003 //***********[GEDZAC LABS 2003]***********// W32/Lorraine by Falckon/GEDZAC wOrm hecho en Delphi 6 Dedicado a mi Lorena Hecho en MéXiKO http://www.viriizone.tk Gedzac Labs
In July each day the worm displays the following messages:

Lorraine Worm [GEDZAC LABS 2003] Creado por Falckon/GEDZAC
Dedicado a mi G. Lorena R. S.,http://www.vsantivirus.com/renalo.htm


Detection

F-Secure Anti-Virus detects Mapson worm with the updates published on June 9th, 2003:

[FSAV_Database_Version]
Version=2003-06-09_01

[Description: Kaspersky Labs and F-Secure Corp.; June 9th, 2003]