Mapson

Technical Details

The worm's file is a Windows PE executable compressed with UPX file comprssor. The worm is written in Borland Delphi 6.0.

When the worm's file is run, it installs itself to system. It copies itself to Windows system directory with the "Lorraine.exe" name and creates a startup keyt for that file in System Registry:

 HKLM\Software\Microsoft\Windows\CurrentVersion\Run Lorraine = %WinSysDir%\Lorraine.exe 

The worm also copies itself to C: root directory with the "Lorraine_vxd" name and also it copies itself to Windows system directory with following names:

 amigos.pif amigototote.pif amor-por-ti.pif antiwinlogon.pif antrox.scr BigBrother.pif bugmsn.pif chistesgraficos.pif chupamelo.pif comotegustan.pif CracksPPZ.pif cristina-aguilera.pif defaced-madonna-site.pif eggbrother.exe EICAX.COM existeee.pif financiamiento.pif GEDZAC.PIF grancarnal.exe grande.pif hackeahotmail.pif historial.pif hotmail.pif kamasutra.pif lacosha@hotmail.com LatinCard.pif linuxandmicrosoft.pif Lorenaaaa.pif Madonna_sEXY.pif MariaVirgen.pif Matrix-Trailer.pif mujeres.pif Masica.pif No-Spam.exe nuevovirus.txt .pif Oradores.pif osamabinhuevoback.exe parejaideal.txt.pif petardas.pif porqueteamo.pif projimo.pif relacionsexual.pif resetarios.pif SARS.pif seguridad_en_hotmail.pif serhacker.pif Shakira.pif solo-a-ti.pif Spamno.pif te-pido.scr teamo.exe test-idiota.pif testpasion.pif thalialoca.pif TutorialVBSvirus.pif WindowsMediaPlayerBug.pif www.mfernanda.com www.vsantiviru.com www.zonaviru.com zorrotttas.pif 

To send infected messages the worm uses its own SMTP engine. The worm gets email addresses from MSN Messenger contact list (up to 2000 emails). The infected messages have plain text format, and the worm activates from infected email only in case a user clicks on an attached file. Subject, bodies and attachment names in an infected message vary. The worm is capable of faking the sender's email address in an infected message.

The worm can send the following email messages:

 From: bigbrother@bigbrother.tv Subject: Big Brother te espera Attachment: BigBrother.pif Body: Felicidades! le hemos enviado este email porque usted ha ganado un pasaje a Mexico al programa Reality show BigBrother,si usted quiere participar en este programa deber abrir el archivo adjunto. 

or

 From: support@hotmail.com Subject: Su cuenta de hotmail sera eliminada Attachment: hotmail.pif Body: Estimado usuario de hotmail,debido al trafico en el servidor y a las fallas que se han venido presentando en este presente mes,hemos de informarle que su cuenta ser removida de nuestra base de datos en menos de 24 horas, le rogamos por favor lea el adjunto con los pasos para evitar que esto suceda. Atentamente el Equipo tecnico de Hotmail. 

or

 From: support@passport.com Subject: 10 reglas de seguridad para su cuenta de hotmail Attachment: seguridad_en_hotmail.pif Body: Amable Usuario de hotmail, la razon de este mail es para darle a conocer las 10 reglas de seguridad que un usuario de passport debe tener en cuenta para evitar que su cuenta sea borrada, hackeada etc...las reglas estn en el adjunto.Atentamente equipo tecnico de passport 

or

 From: hacker@hotmail.com Subject: Puedo ser hacker en 24 horas? Attachment: serhacker.pif Body: No. La respuesta es un no rotundo. Ni en 24 ni en 48 horas :) Pero en este tiempo s puedes tener una idea aproximada y muy bsica de lo que es y de lo que no es1 un hacker y decidir si quieres convertirte en uno de ellos. Te recomiendo que leas el archivo que te mando, esta en espa1ol y es muy interesante acerca de estos temas (hacking,cracking,vulnerabilidades). 

or

 From: "real email" Subject: Problema de seguridad en Windows Media Player Attachment: WindowsMediaPlayerBug.pif Body: Windows Media Player, el reproductor multimedia que acompaa gratuitamente a los sistemas Microsoft, se ve afectado por un problema de seguridad que puede permitir la ejecucion de codigo en la mquina del usuario atacado.por lo que recomendamos leer ms acerca de este bug en el adjunto y aplicar los correspondientes parches de seguridad. 

or

 From: "real email" Subject: Como hackear hotmail? Attachment: hackeahotmail.pif Body: Hola, he estado buscando en la red y encontre esta gua de hacking que ensea como hackear hotmail,orienta al robo de cuentas, imagnate robarle la cuenta a tu novia, tu amigo etc.. a quien quieras, te lo aseguro yo ya lo le y lo comprobe, disfrtalo. 

or

 From: notice@madonna.com Subject: Hackean pgina de Madonna sospechosa de envenenar KaZaA Attachment: defaced-madonna-site.pif Body: Tras sospecharse que Madonna contamino la red KaZaA con algunos archivos envenenados, un grupo hacker ha contraatacado asaltando su pgina y colgando algunos de los temas de su altimo lbum en formato MP3.ms de esta revelante noticia en el adjunto. 

or

 From: "real email" Subject: Que le atrae a las mujeres? Attachment: mujeres.pif Body: Un reciente estudio del comportamiento en la mujer afirma que a ellas les atrae de los hombreses la cara, las manos y su movimiento, si quiere saber ms lea por favor el articulo que le adjuntamos 

or

 From: Anti-Spam@campaa.com Subject: SPAM La proxima gran epidemia Attachment: No-Spam.exe Body: El Spam esta avanzando constantemente y a logrado saturar nuestros correos electronicostal vez sea el principio de una epidemia mundial de esta peste que nos tiene cansados de la publicidad. 

or

 From: test@hispasec.com Subject: Tests antivirus para comprobar la proteccion del email Attachment: EICAX.COM Body: Hispasec pone a disposicion de todos los usuarios dos tests para comprobar el correcto funcionamiento de la proteccion antivirus del correo electronico. El primero de ellos nos indicar la correcta instalacion y buen funcionamiento del antivirus, mientras que el segundo determinar la capacidad de deteccion proactiva para identificar gusanos que explotan vulnerabilidades conocidas. 

or

 From: Amor@teamo.com Subject: Te amo Attachment: teamo.exe Body: Lo amo a usted por que es la persona ms linda del mundo. 

or

 From: Latincards@latincards.com Subject: LatinCards Attachment: LatinCard.pif Body: Le han enviado una LatinCard para poder visualizarla abra el adjuntoGracias. 

or

 From: "real email" Subject: Chistes Grficos Attachment: chistesgraficos.pif Body: Estos son los chistes grficos que ms me han gustado espero que a ti tambien. 

or

 From: lorena@hotmail.com Subject: Te Amo Attachment: porqueteamo.pif Body: Averigua por que..... 

or

 From: "real email" Subject: Test de pasion Attachment: testpasion.pif Body: Test de pasion para usted y su pareja, contestelo y descubra cuanto desea y quiere a su pareja. 

or

 From: Maria_fernanda@mfernanda.com Subject: Re: Dime que te parece Attachment: www.mfernanda.com Body: Hola, como ests? hace tiempo que no se nada de ti... quera hablar contigo sobre un tema.Se trata de mi nuevo portal en el que quiero ofrecer toda mi recopilacion de links en espanol. Me gustara que le echaras un vistazo y me dijeras que tal lo ves tu, si te gusta o cambiaras algo. 

or

 From: "real email" Subject: RE: Test de idiotes Attachment: test-idiota.pif Body: Compruebe si usted es un verdadero idiota. 

or

 From: "real email" Subject: Kamasutra Attachment: kamasutra.pif Body: Kamasutra el arte del sexo 

or

 From: "real email" Subject: Su pareja ideal Attachment: parejaideal.txt.pif Body: Los 10 consejos para tener una pareja ideal,Lealos y pongalos en practica, le aseguro que tendr resultadossatisfactorios. 

or

 From: "real email" Subject: Amor Real... Attachment: existeee.pif Body: en verdad existe? 

or

 From: support@passport.com Subject: Vulnerabilidad Critica en el Msn Messenger Attachment: bugmsn.pif Body: Una vulnerabilidad critica detectada en el msn messenger podra provocar el robo de su cuenta de correoes importante que lea mas de esta vulnerabilidad para poderse proteger de ella. 

or

 From: "real email" Subject: Como puedo crear un virus? Attachment: TutorialVBSvirus.pif Body: Esta pregunta siempre me la han hecho y creo que la voy a responder. Para crear un virus no necesitas saber mucho de computacion, con solo conocer Un poco del lenguaje de programacion basta, por que no empiezas con el Visual Basic Script, te adjunto un tutorial muy completo acerca de este lenguaje y la creacion de virusQue te diviertas.Bye. 

or

 From: Webmaster@vsantiviru.com Subject: Informate de los virus Attachment: www.vsantiviru.com Body: Hola, soy el webmaster de VSANTIVIRUS, estamos realizando una camapaa Contra los virus informaticos y nuestro deber es informarle a los usuarios como usted Que es un virus, las acciones que causan y como desinfectarse.Si usted desea acceder a toda esta informacion haga el favor de hacer clic en el link que le adjuntamos.Gracias 

or

 From: Webmaster@zonaviru.com Subject: Zona Virus.com tu Zona Antivirica en espaol Attachment: www.zonaviru.com Body: Hola, soy el webmaster de zonaviru y quiero invitarlo a visitar mi sitio web, usted podr informarse sobre los ltimos virus aparecidos, tambien sabr como se crean estas alimaas informticas,quienes los crean, como desinfectarse etc... mucha mucha ms informacion.Cuento con su visita Gracias Atentamente el Webmaster de ZonaVirus 

or

 From: "real email" Subject: Virus en Hotmail Attachment: nuevovirus.txt .pif Body: Hola, se a dado una alerta por parte de las empresas antivirus, de un nuevo virus que se expande por hotmail, hasta el momento indetectable para cualquier producto antiviral, por lo que recomiendo leer las precauciones sobre este nuevo gusano informatico. Para ms informacion, favor de leer el documento informativo. 

or

 From: cristina_aguilera@cristina-aguilera.com Subject: Cristina Aguilera Puta de medio tiempo o mentira? Attachment: cristina-aguilera.pif Body: es la mera neta. 

or

 From: "real email" Subject: EGG Brother Attachment: eggbrother.exe Body: LA ultima escena de egg brother vivela ya. 

or

 From: "real email" Subject: Osama Bin Huevo regresa Attachment: osamabinhuevoback.exe Body: Osama bin huevo regresa con una nueva amenaza a los Huevos Unidos de America 

or

 From: "real email" Subject: El Gran Carnal Attachment: grancarnal.exe Body: Mirate que asterisco se tiro encima de doa pepa jeje 

or

 From: "real email" Subject: A Dios le pido.... Attachment: te-pido.scr Body: Que si me muero sea de amor y si me enamoro sea de vos.... 

or

 From: "real email" Subject: Antro Attachment: antrox.scr Body: Hey sin so sobre tras ya no digas ms y despierta la locura!!! 

or

 From: "real email" Subject: Chupamelo Attachment: chupamelo.pif Body: Chupamelo ya... y dime que te parece. 

or

 From: "real email" Subject: Ta grande Attachment: grande.pif Body: Lo tengo grande y t? 

or

 From: "real email" Subject: Tengo Sed... Attachment: amor-por-ti.pif Body: Tengo sed de amor por t. 

or

 From: "real email" Subject: para usted Attachment: historial.pif Body: Si te llego mal, respondeme 

or

 From: "real email" Subject: "empty" Attachment: petardas.pif Body: Si el adjunto no funciona respondame lo ms antes posible 

or

 From: "real email" Subject: Alerta de virus Attachment: antiwinlogon.pif Body: Cuidado! este virus es peligroso puede formatearte el disco duro, llega por hotmail sin que te des cuenta, tu podrias estar infectado busca en tu sistema el archivo winlogon.exe, si lo tienes es mejor que utilizes la vacuna que te mando, hazlo cuanto antes!! no esperes!! 

or

 From: "real email" Subject: Necesita comprar un auto? Attachment: financiamiento.pif Body: Lo mejores planes de financiamiento. 

or

 From: "real email" Subject: Zorras y ms zorras Attachment: zorrotttas.pif Body: Zorritas gratis dandole duro. 

or

 From: "real email" Subject: Matrix Trailer Attachment: Matrix-Trailer.pif Body: Chequelo de una vez!! no se lo pierda. 

or

 From: "real email" Subject: Sabe que es GEDZAC? Attachment: GEDZAC.PIF Body: Por si no sabe que es. una explicacion muy precisa para usted. 

or

 From: "real email" Subject: Como te gustan? Attachment: comotegustan.pif Body: A mi me gustan, altas, bonitas, tetonas, nalgonas y tiernitas pero a ti como te gustan? 

or

 From: "real email" Subject: ? Attachment: Oradores.pif Body: Hola necesito tu ayuda con este archivo Gracias 

or

 From: "real email" Subject: Lo que nos ensea la iglesia Attachment: projimo.pif Body: La Iglesia nos ensea a amar, querer al projimo pero usted debers lo ama? 

or

 From: "real email" Subject: para t Attachment: Lorenaaaa.pif Body: Si el adjunto esta defectuoso reenviamelo. 

or

 From: "real email" Subject: Informacion sobre Sars Attachment: SARS.pif Body: Aydenos a contrarrestar el SARS, por favor aprenda como se contagia y sus efectos. 

or

 From: "real email" Subject: Para mis amigos Attachment: amigos.pif Body: De un amigo para un amigo. 

or

 From: "real email" Subject: Eres un perdedor Attachment: Madonna_sEXY.pif Body: Eres un perdedor no te atreves ni a mirar la foto que te doy. 

or

 From: "real email" Subject: Spam.. Attachment: Spamno.pif Body: Di no al SPAM. 

or

 From: "real email" Subject: Para mis verdaderos amigos Attachment: amigototote.pif Body: Te lo mereces, eres un verdadero amigo 

or

 From: "real email" Subject: Para ti nomas Attachment: solo-a-ti.pif Body: Para ti y nadie ms 

or

 From: "real email" Subject: Necesito su ayuda Attachment: resetarios.pif Body: Tengo problemas con este archivo, seria tan amable de revisarlo por mi? 

or

 From: "real email" Subject: Sexo y ms Attachment: relacionsexual.pif Body: 10 formas para disfrutar de sus relaciones sexuales 

or

 From: "real email" Subject: Linux se vende a Microsoft! Attachment: linuxandmicrosoft.pif Body: Al parecer Linux murio y se vendio a microsoft 

or

 From: "real email" Subject: Recuerda! Attachment: lacosha@hotmail.com Body: Espero que siempre me escribas. 

or

 From: "real email" Subject: Esta si que es puta! Attachment: Shakira.pif Body: NO hables ms y dime si es puta 

or

 From: "real email" Subject: Tu Soft Attachment: CracksPPZ.pif Body: Aqu estan los cracks para los programas que pediste 

or

 From: "real email" Subject: La Virgen Mara no es virgen Attachment: MariaVirgen.pif Body: No me crees? velo tu mismo 

or

 From: "real email" Subject: Msica Digital Gratis Attachment: Msica.pif Body: Bjate todas las canciones que quieras. 

or

 From: "real email" Subject: te gusta? Attachment: thalialoca.pif Body: espero que te guste, si no es asi dimelo. 

There are also three more variants of infected emails, but they are not used because of a bug in the worm's code:

 Subject: Mamalo Attachment: mamalo.pif Body: Mamalo que ta grande..... Subject: La mejor forma de cortar a un chico Attachment: sindolor.pif Body: Las 10 mejores formas para hacer esto menos doloroso. Subject: Amistad Attachment: friends.pif Body: Usted es uno de mis mejores amigos. 

The worm also spreads via a few popular file sharing networks: Kazaa, E-Donkey, Gnunella, Limewire, Morpheus, Grokster. It copies itself to following P2P file sharing network and to shared directories:

 \KaZaA\My Shared Folder\ \edonkey2000\incoming\ \gnucleus\downloads\ \icq\shared files\ \kazaa lite\my shared folders\ \limewire\shared\ \morpheus\my shared folder\ \Grokster\My Grokster\ 

The worm copies have names that are composed using the following combinations:

 "Sexy Bikini" + "Galilea Montijo" + ".gif .exe" "Sexo en la playa con" "Shakira" "las pelotas de" "Britney Spears" "Desnuda en la playa" "Lorena" "Nude Pic" "Halle berry" "Sexy Beach""Cameron dias" "Pink" "Thalia" "Paulina Rubio" "Francini" "Brenda" "Celine Dion" "Kylie Minogue" "Laura Pausini" "Lili Brillanti" "Angelica Vale" "Alejandra Guzman" "Kazaa Media Desktop" + " Cracked.exe" "ICQ Lite" " crack all versions.exe" "WinZip" " .exe" "iMesh" " KeyGen.exe" "AOL Instant Messenger (AIM)" " Fullversion.exe" "ICQ Pro 2003a beta" "Morpheus" "Ad-aware" "Trillian" "Download Accelerator Plus" "ZoneAlarm" "Grokster" "WinRAR" "DivX Video Bundle" "RealOne Free Player" "NetPumper" "Adobe Acrobat Reader (32-bit)" "JetAudio Basic" "WS_FTP LE (32-bit)" "SnagIt" "Registry Mechanic" "WinMX" "MSN Messenger (Windows NT/2000)" "Biromsoft WebCam" "Nero Burning ROM" "Microsoft Windows Media Player" "Spybot - Search & Destroy" "Copernic Agent" "Winamp" "Diet Kaza" "SolSuite 2003: Solitaire Card Games Suite" "Pop-Up Stopper" "QuickTime" "XoloX Ultra" "Microsoft Internet Explorer" "Network Cable e ADSL Speed" "Kazaa Download Accelerator" "Global DiVX Player" "DirectDVD" "Kaspersky Antivirus" "PerAntivirus" "Norton Antivirus" "Panda Antivirus" "McAfee Antivirus" "Microsoft Office XP" "Microsoft Windows 2003" "Office 2003" "Visual Studio Net" "Delphi 6" "msn hack" "Matrix Movie" "Virtual Girl Sofa" "FireWorks 4" "FIreWorks MX" 

For example the worm's file names can have the following names:

 "Sexy Bikini Galilea Montijo.gif .exe" "Sexy Bikini Shakira.gif .exe" "Kazaa Media Desktop Cracked.exe" "Kazaa Media Desktop crack all versions.exe" 

When infected messages are sent, the worm plays the standard "system start" sound.

Mapson worm creates the "C:\lorraine.hta" file, writes the HTML message there and on 4th of each month opens it:

 Lorraine Worm [GEDZAC LABS 2003] W32/Lorraine - Gedzac Labs 2003 //***********[GEDZAC LABS 2003]***********// W32/Lorraine by Falckon/GEDZAC wOrm hecho en Delphi 6 Dedicado a mi Lorena Hecho en MeXiKO http://www.viriizone.tk Gedzac Labs 

In July each day the worm displays the following messages:

 Lorraine Worm [GEDZAC LABS 2003] Creado por Falckon/GEDZAC Dedicado a mi G. Lorena R. S.,http://www.vsantivirus.com/renalo.htm