F-Secure Virus Descriptions : Mapson
|
|
|
Mapson is a worm spreading via the Internet being attached to
infected emails and through file sharing networks and folders. It
was found in the wild in the beginning of June 2003.
Technical Description
The worm's file is a Windows PE executable compressed with UPX
file comprssor. The worm is written in Borland Delphi 6.0.
When the worm's file is run, it installs itself to system. It
copies itself to Windows system directory with the "Lorraine.exe"
name and creates a startup keyt for that file in System Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Lorraine = %WinSysDir%\Lorraine.exe
The worm also copies itself to C: root directory with the
"Lorraine_vxd" name and also it copies itself to Windows system
directory with following names:
amigos.pif
amigototote.pif
amor-por-ti.pif
antiwinlogon.pif
antrox.scr
BigBrother.pif
bugmsn.pif
chistesgraficos.pif
chupamelo.pif
comotegustan.pif
CracksPPZ.pif
cristina-aguilera.pif
defaced-madonna-site.pif
eggbrother.exe
EICAX.COM
existeee.pif
financiamiento.pif
GEDZAC.PIF
grancarnal.exe
grande.pif
hackeahotmail.pif
historial.pif
hotmail.pif
kamasutra.pif
lacosha@hotmail.com
LatinCard.pif
linuxandmicrosoft.pif
Lorenaaaa.pif
Madonna_sEXY.pif
MariaVirgen.pif
Matrix-Trailer.pif
mujeres.pif
Mêsica.pif
No-Spam.exe
nuevovirus.txt .pif
Oradores.pif
osamabinhuevoback.exe
parejaideal.txt.pif
petardas.pif
porqueteamo.pif
projimo.pif
relacionsexual.pif
resetarios.pif
SARS.pif
seguridad_en_hotmail.pif
serhacker.pif
Shakira.pif
solo-a-ti.pif
Spamno.pif
te-pido.scr
teamo.exe
test-idiota.pif
testpasion.pif
thalialoca.pif
TutorialVBSvirus.pif
WindowsMediaPlayerBug.pif
www.mfernanda.com
www.vsantiviru.com
www.zonaviru.com
zorrotttas.pif
To send infected messages the worm uses its own SMTP engine. The
worm gets email addresses from MSN Messenger contact list (up to
2000 emails). The infected messages have plain text format, and
the worm activates from infected email only in case a user clicks
on an attached file. Subject, bodies and attachment names in an
infected message vary. The worm is capable of faking the sender's
e-mail address in an infected message.
The worm can send the following email messages:
From: bigbrother@bigbrother.tv
Subject: Big Brother te espera
Attachment: BigBrother.pif
Body:
Felicidades! le hemos enviado este E-Mail porque usted ha
ganado un pasaje a México al programa Reality show
BigBrother,si usted quiere participar en este programa deberá
abrir el archivo adjunto.
or
From: support@hotmail.com
Subject: Su cuenta de hotmail sera eliminada
Attachment: hotmail.pif
Body:
Estimado usuario de hotmail,debido al trafico en el servidor y
a las fallas que se han venido presentando en este presente
mes,hemos de informarle que su cuenta será removida de nuestra
base de datos en menos de 24 horas, le rogamos por favor lea
el adjunto con los pasos para evitar que esto suceda.
Atentamente el Equipo tecnico de Hotmail.
or
From: support@passport.com
Subject: 10 reglas de seguridad para su cuenta de hotmail
Attachment: seguridad_en_hotmail.pif
Body:
Amable Usuario de hotmail, la razón de este mail es para darle
a conocer las 10 reglas de seguridad que un usuario de
passport debe tener en cuenta para evitar que su cuenta sea
borrada, hackeada etc...las reglas están en el
adjunto.Atentamente equipo tecnico de passport
or
From: hacker@hotmail.com
Subject: ¿Puedo ser hacker en 24 horas?
Attachment: serhacker.pif
Body:
No. La respuesta es un no rotundo. Ni en 24 ni en 48 horas :)
Pero en este tiempo sí puedes tener una idea aproximada y muy
básica de lo que es y de lo que “no es” un hacker y decidir si
quieres convertirte en uno de ellos. Te recomiendo que leas el
archivo que te mando, esta en español y es muy interesante
acerca de estos temas (hacking,cracking,vulnerabilidades).
or
From: "real email"
Subject: Problema de seguridad en Windows Media Player
Attachment: WindowsMediaPlayerBug.pif
Body:
Windows Media Player, el reproductor multimedia que acompaña
gratuitamente a los sistemas Microsoft, se ve afectado por un
problema de seguridad que puede permitir la ejecución de
código en la máquina del usuario atacado.por lo que
recomendamos leer más acerca de este bug en el adjunto y
aplicar los correspondientes parches de seguridad.
or
From: "real email"
Subject: ¿Cómo hackear hotmail?
Attachment: hackeahotmail.pif
Body:
Hola, he estado buscando en la red y encontré esta guía de
hacking que enseña como hackear hotmail,orienta al robo de
cuentas, imagínate robarle la cuenta a tu novia, tu amigo
etc.. a quien quieras, te lo aseguro yo ya lo leí y lo
comprobé, disfrútalo.
or
From: notice@madonna.com
Subject: Hackean página de Madonna sospechosa de envenenar KaZaA
Attachment: defaced-madonna-site.pif
Body:
Tras sospecharse que Madonna contaminó la red KaZaA con
algunos archivos envenenados, un grupo hacker ha contraatacado
asaltando su página y colgando algunos de los temas de su
último álbum en formato MP3.más de esta revelante noticia en
el adjunto.
or
From: "real email"
Subject: ¿Que le atrae a las mujeres?
Attachment: mujeres.pif
Body:
Un reciente estudio del comportamiento en la mujer afirma que
a ellas les atrae de los hombreses la cara, las manos y su
movimiento, si quiere saber más lea por favor el articulo que
le adjuntamos
or
From: Anti-Spam@campaña.com
Subject: SPAM La proxima gran epidemia
Attachment: No-Spam.exe
Body:
El Spam esta avanzando constantemente y a logrado saturar
nuestros correos electronicostal vez sea el principio de una
epidemia mundial de esta peste que nos tiene cansados de la
publicidad.
or
From: test@hispasec.com
Subject: Tests antivirus para comprobar la protección del e-mail
Attachment: EICAX.COM
Body:
Hispasec pone a disposición de todos los usuarios dos tests
para comprobar el correcto funcionamiento de la protección
antivirus del correo electrónico. El primero de ellos nos
indicará la correcta instalación y buen funcionamiento del
antivirus, mientras que el segundo determinará la capacidad de
detección proactiva para identificar gusanos que explotan
vulnerabilidades conocidas.
or
From: Amor@teamo.com
Subject: Te amo
Attachment: teamo.exe
Body: Lo amo a usted por que es la persona más linda del mundo.
or
From: Latincards@latincards.com
Subject: LatinCards
Attachment: LatinCard.pif
Body: Le han enviado una LatinCard para poder visualizarla abra el adjuntoGracias.
or
From: "real email"
Subject: Chistes Gráficos
Attachment: chistesgraficos.pif
Body: Estos son los chistes gráficos que más me han gustado espero que a ti también.
or
From: lorena@hotmail.com
Subject: Te Amo
Attachment: porqueteamo.pif
Body: Averigua por que.....
or
From: "real email"
Subject: Test de pasión
Attachment: testpasion.pif
Body: Test de pasión para usted y su pareja, contéstelo y descubra cuanto desea y quiere a su pareja.
or
From: Maria_fernanda@mfernanda.com
Subject: Re: Dime que te parece
Attachment: www.mfernanda.com
Body:
Hola, como estás? hace tiempo que no se nada de ti... quería
hablar contigo sobre un tema.Se trata de mi nuevo portal en el
que quiero ofrecer toda mi recopilación de links en espanol.
Me gustaría que le echaras un vistazo y me dijeras que tal lo
ves tu, si te gusta o cambiarías algo.
or
From: "real email"
Subject: RE: Test de idiotes
Attachment: test-idiota.pif
Body: Compruebe si usted es un verdadero idiota.
or
From: "real email"
Subject: Kamasutra
Attachment: kamasutra.pif
Body: Kamasutra el arte del sexo
or
From: "real email"
Subject: Su pareja ideal
Attachment: parejaideal.txt.pif
Body:
Los 10 consejos para tener una pareja ideal,Léalos y póngalos
en practica, le aseguro que tendrá resultadossatisfactorios.
or
From: "real email"
Subject: Amor Real...
Attachment: existeee.pif
Body: en verdad existe?
or
From: support@passport.com
Subject: Vulnerabilidad Critica en el Msn Messenger
Attachment: bugmsn.pif
Body:
Una vulnerabilidad critica detectada en el msn messenger
podría provocar el robo de su cuenta de correoes importante
que lea mas de esta vulnerabilidad para poderse proteger de
ella.
or
From: "real email"
Subject: ¿Cómo puedo crear un virus?
Attachment: TutorialVBSvirus.pif
Body:
Esta pregunta siempre me la han hecho y creo que la voy a
responder. Para crear un virus no necesitas saber mucho de
computación, con solo conocer Un poco del lenguaje de
programación basta, por que no empiezas con el Visual Basic
Script, te adjunto un tutorial muy completo acerca de este
lenguaje y la creación de virusQue te diviertas.Bye.
or
From: Webmaster@vsantiviru.com
Subject: Informate de los virus
Attachment: www.vsantiviru.com
Body:
Hola, soy el webmaster de VSANTIVIRUS, estamos realizando una
camapaña Contra los virus informaticos y nuestro deber es
informarle a los usuarios como usted Que es un virus, las
acciones que causan y como desinfectarse.Si usted desea
acceder a toda esta información haga el favor de hacer clic en
el link que le adjuntamos.Gracias
or
From: Webmaster@zonaviru.com
Subject: Zona Virus.com tu Zona Antivirica en español
Attachment: www.zonaviru.com
Body:
Hola, soy el webmaster de zonaviru y quiero invitarlo a
visitar mi sitio web, usted podrá informarse sobre los últimos
virus aparecidos, también sabrá como se crean estas alimañas
informáticas,quienes los crean, como desinfectarse etc...
mucha mucha más información.Cuento con su visita Gracias
Atentamente el Webmaster de ZonaVirus
or
From: "real email"
Subject: Virus en Hotmail
Attachment: nuevovirus.txt .pif
Body:
Hola, se a dado una alerta por parte de las empresas
antivirus, de un nuevo virus que se expande por hotmail, hasta
el momento indetectable para cualquier producto antiviral, por
lo que recomiendo leer las precauciones sobre este nuevo
gusano informatico. Para más información, favor de leer el
documento informativo.
or
From: cristina_aguilera@cristina-aguilera.com
Subject: Cristina Aguilera Puta de medio tiempo o mentira?
Attachment: cristina-aguilera.pif
Body: es la mera neta.
or
From: "real email"
Subject: EGG Brother
Attachment: eggbrother.exe
Body: LA ultima escena de egg brother vivela ya.
or
From: "real email"
Subject: Osama Bin Huevo regresa
Attachment: osamabinhuevoback.exe
Body: Osama bin huevo regresa con una nueva amenaza a los Huevos Unidos de América
or
From: "real email"
Subject: El Gran Carnal
Attachment: grancarnal.exe
Body: Mirate que asterisco se tiro encima de doña pepa jeje
or
From: "real email"
Subject: A Dios le pido....
Attachment: te-pido.scr
Body: Que si me muero sea de amor y si me enamoro sea de vos....
or
From: "real email"
Subject: Antro
Attachment: antrox.scr
Body: Hey sin so sobre tras ya no digas más y despierta la locura!!!
or
From: "real email"
Subject: Chupamelo
Attachment: chupamelo.pif
Body: Chupamelo ya... y dime que te parece.
or
From: "real email"
Subject: Ta grande
Attachment: grande.pif
Body: Lo tengo grande y tú?
or
From: "real email"
Subject: Tengo Sed...
Attachment: amor-por-ti.pif
Body: Tengo sed de amor por tí.
or
From: "real email"
Subject: para usted
Attachment: historial.pif
Body: Si te llego mal, respondeme
or
From: "real email"
Subject: "empty"
Attachment: petardas.pif
Body: Si el adjunto no funciona respondame lo más antes posible
or
From: "real email"
Subject: Alerta de virus
Attachment: antiwinlogon.pif
Body:
Cuidado! este virus es peligroso puede formatearte el disco
duro, llega por hotmail sin que te des cuenta, tu podrias
estar infectado busca en tu sistema el archivo winlogon.exe,
si lo tienes es mejor que utilizes la vacuna que te mando,
hazlo cuanto antes!! no esperes!!
or
From: "real email"
Subject: Necesita comprar un auto?
Attachment: financiamiento.pif
Body: Lo mejores planes de financiamiento.
or
From: "real email"
Subject: Zorras y más zorras
Attachment: zorrotttas.pif
Body: Zorritas gratis dandole duro.
or
From: "real email"
Subject: Matrix Trailer
Attachment: Matrix-Trailer.pif
Body: Chequelo de una vez!! no se lo pierda.
or
From: "real email"
Subject: ¿Sabe que es GEDZAC?
Attachment: GEDZAC.PIF
Body: Por si no sabe que es. una explicación muy precisa para usted.
or
From: "real email"
Subject: Como te gustan?
Attachment: comotegustan.pif
Body: A mi me gustan, altas, bonitas, tetonas, nalgonas y tiernitas pero a ti como te gustan?
or
From: "real email"
Subject: ¿?
Attachment: Oradores.pif
Body: Hola necesito tu ayuda con este archivo Gracias
or
From: "real email"
Subject: Lo que nos enseña la iglesia
Attachment: projimo.pif
Body: La Iglesia nos enseña a amar, querer al prójimo pero usted deberás lo ama?
or
From: "real email"
Subject: para tí
Attachment: Lorenaaaa.pif
Body: Si el adjunto esta defectuoso reenviamelo.
or
From: "real email"
Subject: Información sobre Sars
Attachment: SARS.pif
Body: Ayúdenos a contrarrestar el SARS, por favor aprenda como se contagia y sus efectos.
or
From: "real email"
Subject: Para mis amigos
Attachment: amigos.pif
Body: De un amigo para un amigo.
or
From: "real email"
Subject: Eres un perdedor
Attachment: Madonna_sEXY.pif
Body: Eres un perdedor no te atreves ni a mirar la foto que te doy.
or
From: "real email"
Subject: Spam..
Attachment: Spamno.pif
Body: Di no al SPAM.
or
From: "real email"
Subject: Para mis verdaderos amigos
Attachment: amigototote.pif
Body: Te lo mereces, eres un verdadero amigo
or
From: "real email"
Subject: Para ti nomas
Attachment: solo-a-ti.pif
Body: Para ti y nadie más
or
From: "real email"
Subject: Necesito su ayuda
Attachment: resetarios.pif
Body: Tengo problemas con este archivo, seria tan amable de revisarlo por mi?
or
From: "real email"
Subject: Sexo y más
Attachment: relacionsexual.pif
Body: 10 formas para disfrutar de sus relaciones sexuales
or
From: "real email"
Subject: Linux se vende a Microsoft!
Attachment: linuxandmicrosoft.pif
Body: Al parecer Linux murio y se vendio a microsoft
or
From: "real email"
Subject: Recuerda!
Attachment: lacosha@hotmail.com
Body: Espero que siempre me escribas.
or
From: "real email"
Subject: Esta si que es puta!
Attachment: Shakira.pif
Body: NO hables más y dime si es puta
or
From: "real email"
Subject: Tu Soft
Attachment: CracksPPZ.pif
Body: Aquí estan los cracks para los programas que pediste
or
From: "real email"
Subject: La Virgen María no es virgen
Attachment: MariaVirgen.pif
Body: No me crees? velo tu mismo
or
From: "real email"
Subject: Música Digital Gratis
Attachment: Música.pif
Body: Bájate todas las canciones que quieras.
or
From: "real email"
Subject: te gusta?
Attachment: thalialoca.pif
Body: espero que te guste, si no es asi dimelo.
There are also three more variants of infected emails, but they
are not used because of a bug in the worm's code:
Subject: Mamalo
Attachment: mamalo.pif
Body: Mamalo que ta grande.....
Subject: La mejor forma de cortar a un chico
Attachment: sindolor.pif
Body: Las 10 mejores formas para hacer esto menos doloroso.
Subject: Amistad
Attachment: friends.pif
Body: Usted es uno de mis mejores amigos.
The worm also spreads via a few popular file sharing networks:
Kazaa, E-Donkey, Gnunella, Limewire, Morpheus, Grokster. It
copies itself to following P2P file sharing network and to shared
directories:
\KaZaA\My Shared Folder\
\edonkey2000\incoming\
\gnucleus\downloads\
\icq\shared files\
\kazaa lite\my shared folders\
\limewire\shared\
\morpheus\my shared folder\
\Grokster\My Grokster\
The worm copies have names that are composed using the following
combinations:
"Sexy Bikini" + "Galilea Montijo" + ".gif .exe"
"Sexo en la playa con" "Shakira"
"las pelotas de" "Britney Spears"
"Desnuda en la playa" "Lorena"
"Nude Pic" "Halle berry"
"Sexy Beach" "Cameron dias"
"Pink"
"Thalia"
"Paulina Rubio"
"Francini"
"Brenda"
"Celine Dion"
"Kylie Minogue"
"Laura Pausini"
"Lili Brillanti"
"Angelica Vale"
"Alejandra Guzman"
"Kazaa Media Desktop" + " Cracked.exe"
"ICQ Lite" " crack all versions.exe"
"WinZip" " .exe"
"iMesh" " KeyGen.exe"
"AOL Instant Messenger (AIM)" " Fullversion.exe"
"ICQ Pro 2003a beta"
"Morpheus"
"Ad-aware"
"Trillian"
"Download Accelerator Plus"
"ZoneAlarm"
"Grokster"
"WinRAR"
"DivX Video Bundle"
"RealOne Free Player"
"NetPumper"
"Adobe Acrobat Reader (32-bit)"
"JetAudio Basic"
"WS_FTP LE (32-bit)"
"SnagIt"
"Registry Mechanic"
"WinMX"
"MSN Messenger (Windows NT/2000)"
"Biromsoft WebCam"
"Nero Burning ROM"
"Microsoft Windows Media Player"
"Spybot - Search & Destroy"
"Copernic Agent"
"Winamp"
"Diet Kaza"
"SolSuite 2003: Solitaire Card Games Suite"
"Pop-Up Stopper"
"QuickTime"
"XoloX Ultra"
"Microsoft Internet Explorer"
"Network Cable e ADSL Speed"
"Kazaa Download Accelerator"
"Global DiVX Player"
"DirectDVD"
"Kaspersky Antivirus"
"PerAntivirus"
"Norton Antivirus"
"Panda Antivirus"
"McAfee Antivirus"
"Microsoft Office XP"
"Microsoft Windows 2003"
"Office 2003"
"Visual Studio Net"
"Delphi 6"
"msn hack"
"Matrix Movie"
"Virtual Girl Sofía"
"FireWorks 4"
"FIreWorks MX"
For example the worm's file names can have the following names:
"Sexy Bikini Galilea Montijo.gif .exe"
"Sexy Bikini Shakira.gif .exe"
"Kazaa Media Desktop Cracked.exe"
"Kazaa Media Desktop crack all versions.exe"
When infected messages are sent, the worm plays the standard
"system start" sound.
Mapson worm creates the "C:\lorraine.hta" file, writes the HTML
message there and on 4th of each month opens it:
Lorraine Worm [GEDZAC LABS 2003]
W32/Lorraine - Gedzac Labs 2003
//***********[GEDZAC LABS 2003]***********//
W32/Lorraine by Falckon/GEDZAC
wOrm hecho en Delphi 6 Dedicado a mi Lorena
Hecho en MéXiKO
http://www.viriizone.tk
Gedzac Labs
In July each day the worm displays the following messages:
Lorraine Worm [GEDZAC LABS 2003]
Creado por Falckon/GEDZAC
Dedicado a mi G. Lorena R. S.,http://www.vsantivirus.com/renalo.htm
Detection
F-Secure Anti-Virus detects Mapson worm with the updates published
on June 9th, 2003:
[FSAV_Database_Version]
Version=2003-06-09_01
[Description: Kaspersky Labs and F-Secure Corp.; June 9th, 2003]
|