Mapson

The worm's file is a Windows PE executable compressed with UPX file comprssor. The worm is written in Borland Delphi 6.0.

When the worm's file is run, it installs itself to system. It copies itself to Windows system directory with the "Lorraine.exe" name and creates a startup keyt for that file in System Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
 Lorraine = %WinSysDir%\Lorraine.exe

The worm also copies itself to C: root directory with the "Lorraine_vxd" name and also it copies itself to Windows system directory with following names:

amigos.pif
amigototote.pif
amor-por-ti.pif
antiwinlogon.pif
antrox.scr
BigBrother.pif
bugmsn.pif
chistesgraficos.pif
chupamelo.pif
comotegustan.pif
CracksPPZ.pif
cristina-aguilera.pif
defaced-madonna-site.pif
eggbrother.exe
EICAX.COM
existeee.pif
financiamiento.pif
GEDZAC.PIF
grancarnal.exe
grande.pif
hackeahotmail.pif
historial.pif
hotmail.pif
kamasutra.pif
lacosha@hotmail.com
LatinCard.pif
linuxandmicrosoft.pif
Lorenaaaa.pif
Madonna_sEXY.pif
MariaVirgen.pif
Matrix-Trailer.pif
mujeres.pif
Mã‚asica.pif
No-Spam.exe
nuevovirus.txt .pif
Oradores.pif
osamabinhuevoback.exe
parejaideal.txt.pif
petardas.pif
porqueteamo.pif
projimo.pif
relacionsexual.pif
resetarios.pif
SARS.pif
seguridad_en_hotmail.pif
serhacker.pif
Shakira.pif
solo-a-ti.pif
Spamno.pif
te-pido.scr
teamo.exe
test-idiota.pif
testpasion.pif
thalialoca.pif
TutorialVBSvirus.pif
WindowsMediaPlayerBug.pif
www.mfernanda.com
www.vsantiviru.com
www.zonaviru.com
zorrotttas.pif

To send infected messages the worm uses its own SMTP engine. The worm gets email addresses from MSN Messenger contact list (up to 2000 emails). The infected messages have plain text format, and the worm activates from infected email only in case a user clicks on an attached file. Subject, bodies and attachment names in an infected message vary. The worm is capable of faking the sender's email address in an infected message.

The worm can send the following email messages:

From:		bigbrother@bigbrother.tv
Subject:	Big Brother te espera
Attachment:

BigBrother.pif
Body:

Felicidades! le hemos enviado este email porque usted ha

ganado un pasaje a Mã‚exico al programa Reality show

BigBrother,si usted quiere participar en este programa deberã‚¡

abrir el archivo adjunto.

or

From:		support@hotmail.com
Subject:	Su cuenta de hotmail sera eliminada
Attachment:	hotmail.pif
Body:

Estimado usuario de hotmail,debido al trafico en el servidor y

a las fallas que se han venido presentando en este presente

mes,hemos de informarle que su cuenta serã‚¡ removida de nuestra

base de datos en menos de 24 horas, le rogamos por favor lea

el adjunto con los pasos para evitar que esto suceda.

Atentamente el Equipo tecnico de Hotmail.

or

From:		support@passport.com
Subject:	10 reglas de seguridad para su cuenta de hotmail
Attachment:	seguridad_en_hotmail.pif
Body:

Amable Usuario de hotmail, la razã‚on de este mail es para darle

a conocer las 10 reglas de seguridad que un usuario de

passport debe tener en cuenta para evitar que su cuenta sea

borrada, hackeada etc...las reglas estã‚¡n en el

adjunto.Atentamente equipo tecnico de passport

or

From:		hacker@hotmail.com
Subject:	ã‚¿Puedo ser hacker en 24 horas?
Attachment:	serhacker.pif
Body:

No. La respuesta es un no rotundo. Ni en 24 ni en 48 horas :)

Pero en este tiempo sã‚­ puedes tener una idea aproximada y muy

bã‚¡sica de lo que es y de lo que 㢀šã…€œno es㢀šã‚ un hacker y decidir si

quieres convertirte en uno de ellos. Te recomiendo que leas el

archivo que te mando, esta en espaケol y es muy interesante

acerca de estos temas (hacking,cracking,vulnerabilidades).

or

From:		"real email"
Subject:	Problema de seguridad en Windows Media Player
Attachment:	WindowsMediaPlayerBug.pif
Body:

Windows Media Player, el reproductor multimedia que acompaケa

gratuitamente a los sistemas Microsoft, se ve afectado por un

problema de seguridad que puede permitir la ejecuciã‚on de

cã‚odigo en la mã‚¡quina del usuario atacado.por lo que

recomendamos leer mã‚¡s acerca de este bug en el adjunto y

aplicar los correspondientes parches de seguridad.

or

From:		"real email"
Subject:	ã‚¿Cã‚omo hackear hotmail?
Attachment:	hackeahotmail.pif
Body:

Hola, he estado buscando en la red y encontrã‚e esta guã‚­a de

hacking que enseケa como hackear hotmail,orienta al robo de

cuentas, imagã‚­nate robarle la cuenta a tu novia, tu amigo

etc.. a quien quieras, te lo aseguro yo ya lo leã‚­ y lo

comprobã‚e, disfrズtalo.

or

From:		notice@madonna.com
Subject:	Hackean pã‚¡gina de Madonna sospechosa de envenenar KaZaA
Attachment:	defaced-madonna-site.pif
Body:

Tras sospecharse que Madonna contaminã‚o la red KaZaA con

algunos archivos envenenados, un grupo hacker ha contraatacado

asaltando su pã‚¡gina y colgando algunos de los temas de su

ズltimo ァlbum en formato MP3.mァs de esta revelante noticia en

el adjunto.

or

From:		"real email"
Subject:	ã‚¿Que le atrae a las mujeres?
Attachment:	mujeres.pif
Body:

Un reciente estudio del comportamiento en la mujer afirma que

a ellas les atrae de los hombreses la cara, las manos y su

movimiento, si quiere saber mã‚¡s lea por favor el articulo que

le adjuntamos

or

From:		Anti-Spam@campaケa.com
Subject:	SPAM La proxima gran epidemia
Attachment:	No-Spam.exe
Body:

El Spam esta avanzando constantemente y a logrado saturar

nuestros correos electronicostal vez sea el principio de una

epidemia mundial de esta peste que nos tiene cansados de la

publicidad.

or

From:		test@hispasec.com
Subject:	Tests antivirus para comprobar la protecciã‚on del email
Attachment:	EICAX.COM
Body:

Hispasec pone a disposiciã‚on de todos los usuarios dos tests

para comprobar el correcto funcionamiento de la protecciã‚on

antivirus del correo electrã‚onico.
El primero de ellos nos

indicarã‚¡ la correcta instalaciã‚on y buen funcionamiento del

antivirus, mientras que el segundo determinarã‚¡ la capacidad de

detecciã‚on proactiva para identificar gusanos que explotan

vulnerabilidades conocidas.

or

From:		Amor@teamo.com
Subject:	Te amo
Attachment:	teamo.exe
Body:		Lo amo a usted por que es la persona mã‚¡s linda del mundo.

or

From:		Latincards@latincards.com
Subject:	LatinCards
Attachment:	LatinCard.pif
Body:		Le han enviado una LatinCard para poder visualizarla abra el adjuntoGracias.

or

From:		"real email"
Subject:	Chistes Grã‚¡ficos
Attachment:	chistesgraficos.pif
Body:		Estos son los chistes grã‚¡ficos que mã‚¡s me han gustado espero que a ti tambiã‚en.

or

From:		lorena@hotmail.com
Subject:	Te Amo
Attachment:	porqueteamo.pif
Body:		Averigua por que.....

or

From:		"real email"
Subject:	Test de pasiã‚on
Attachment:	testpasion.pif
Body:

Test de pasiã‚on para usted y su pareja, contã‚estelo y descubra cuanto desea y quiere a su pareja.

or

From:		Maria_fernanda@mfernanda.com
Subject:	Re: Dime que te parece
Attachment:	www.mfernanda.com
Body:

Hola, como estã‚¡s? hace tiempo que no se nada de ti... querã‚­a

hablar contigo sobre un tema.Se trata de mi nuevo portal en el

que quiero ofrecer toda mi recopilaciã‚on de links en espanol.

Me gustarã‚­a que le echaras un vistazo y me dijeras que tal lo

ves tu, si te gusta o cambiarã‚­as algo.

or

From:		"real email"
Subject:	RE: Test de idiotes
Attachment:	test-idiota.pif
Body:		Compruebe si usted es un verdadero idiota.

or

From:		"real email"
Subject:	Kamasutra
Attachment:	kamasutra.pif
Body:		Kamasutra el arte del sexo

or

From:		"real email"
Subject:	Su pareja ideal
Attachment:	parejaideal.txt.pif
Body:

Los 10 consejos para tener una pareja ideal,Lã‚ealos y pã‚ongalos

en practica, le aseguro que tendrã‚¡ resultadossatisfactorios.

or

From:		"real email"
Subject:	Amor Real...
Attachment:	existeee.pif
Body:		en verdad existe?

or

From:		support@passport.com
Subject:	Vulnerabilidad Critica en el Msn Messenger
Attachment:	bugmsn.pif
Body:

Una vulnerabilidad critica detectada en el msn messenger

podrã‚­a provocar el robo de su cuenta de correoes importante

que lea mas de esta vulnerabilidad para poderse proteger de

ella.

or

From:		"real email"
Subject:	ã‚¿Cã‚omo puedo crear un virus?
Attachment:	TutorialVBSvirus.pif
Body:

Esta pregunta siempre me la han hecho y creo que la voy a

responder. Para crear un virus no necesitas saber mucho de

computaciã‚on, con solo conocer Un poco del lenguaje de

programaciã‚on basta, por que no empiezas con el Visual Basic

Script, te adjunto un tutorial muy completo acerca de este

lenguaje y la creaciã‚on de virusQue te diviertas.Bye.

or

From:		Webmaster@vsantiviru.com
Subject:	Informate de los virus
Attachment:	www.vsantiviru.com
Body:

Hola, soy el webmaster de VSANTIVIRUS, estamos realizando una

camapaケa Contra los virus informaticos y nuestro deber es

informarle a los usuarios como usted Que es un virus, las

acciones que causan y como desinfectarse.Si usted desea

acceder a toda esta informaciã‚on haga el favor de hacer clic en

el link que le adjuntamos.Gracias

or

From:		Webmaster@zonaviru.com
Subject:	Zona Virus.com tu Zona Antivirica en espaケol
Attachment:	www.zonaviru.com
Body:

Hola, soy el webmaster de zonaviru y quiero invitarlo a

visitar mi sitio web, usted podrァ informarse sobre los ズltimos

virus aparecidos, tambiã‚en sabrã‚¡ como se crean estas alimaケas

informã‚¡ticas,quienes los crean, como desinfectarse etc...

mucha mucha mã‚¡s informaciã‚on.Cuento con su
visita Gracias

Atentamente el Webmaster de ZonaVirus

or

From:		"real email"
Subject:	Virus en Hotmail
Attachment:	nuevovirus.txt .pif
Body:

Hola, se a dado una alerta por parte de las empresas

antivirus, de un nuevo virus que se expande por hotmail, hasta

el momento indetectable para cualquier producto antiviral, por

lo que recomiendo leer las precauciones sobre este nuevo

gusano informatico. Para mã‚¡s informaciã‚on, favor de leer el

documento informativo.

or

From:		cristina_aguilera@cristina-aguilera.com
Subject:	Cristina Aguilera Puta de medio tiempo o mentira?
Attachment:	cristina-aguilera.pif
Body:		es la mera neta.

or

From:		"real email"
Subject:	EGG Brother
Attachment:	eggbrother.exe
Body:		LA ultima escena de egg brother vivela ya.

or

From:		"real email"
Subject:	Osama Bin Huevo regresa
Attachment:	osamabinhuevoback.exe
Body:		Osama bin huevo regresa con una nueva amenaza a los Huevos Unidos de Amã‚erica

or

From:		"real email"
Subject:	El Gran Carnal
Attachment:	grancarnal.exe
Body:		Mirate que asterisco se tiro encima de doケa pepa jeje

or

From:		"real email"
Subject:	A Dios le pido....
Attachment:	te-pido.scr
Body:		Que si me muero sea de amor y si me enamoro sea de vos....

or

From:		"real email"
Subject:	Antro
Attachment:	antrox.scr
Body:		Hey sin so sobre tras ya no digas mã‚¡s y despierta la locura!!!

or

From:		"real email"
Subject:	Chupamelo
Attachment:	chupamelo.pif
Body:		Chupamelo ya... y dime que te parece.

or

From:		"real email"
Subject:	Ta grande
Attachment:	grande.pif
Body:		Lo tengo grande y tズ?

or

From:		"real email"
Subject:	Tengo Sed...
Attachment:	amor-por-ti.pif
Body:		Tengo sed de amor por tã‚­.

or

From:		"real email"
Subject:	para usted
Attachment:	historial.pif
Body:		Si te llego mal, respondeme

or

From:		"real email"
Subject:	"empty"
Attachment:	petardas.pif
Body:		Si el adjunto no funciona respondame lo mã‚¡s antes posible

or

From:		"real email"
Subject:	Alerta de virus
Attachment:	antiwinlogon.pif
Body:

Cuidado! este virus es peligroso puede formatearte el disco

duro, llega por hotmail sin que te des cuenta, tu podrias

estar infectado busca en tu sistema el archivo winlogon.exe,

si lo tienes es mejor que utilizes la vacuna que te mando,

hazlo cuanto antes!! no esperes!!

or

From:		"real email"
Subject:	Necesita comprar un auto?
Attachment:	financiamiento.pif
Body:		Lo mejores planes de financiamiento.

or

From:		"real email"
Subject:	Zorras y mã‚¡s zorras
Attachment:	zorrotttas.pif
Body:		Zorritas gratis dandole duro.

or

From:		"real email"
Subject:	Matrix Trailer
Attachment:	Matrix-Trailer.pif
Body:		Chequelo de una vez!! no se lo pierda.

or

From:		"real email"
Subject:	ã‚¿Sabe que es GEDZAC?
Attachment:	GEDZAC.PIF
Body:		Por si no sabe que es. una explicaciã‚on muy precisa para usted.

or

From:		"real email"
Subject:	Como te gustan?
Attachment:	comotegustan.pif
Body:		A mi me gustan, altas, bonitas, tetonas, nalgonas y tiernitas pero a ti como te gustan?

or

From:		"real email"
Subject:	ã‚¿?
Attachment:	Oradores.pif
Body:		Hola necesito tu ayuda con este archivo Gracias

or

From:		"real email"
Subject:	Lo que nos enseケa la iglesia
Attachment:	projimo.pif
Body:		La Iglesia nos enseケa a amar, querer al prã‚ojimo pero usted deberã‚¡s lo ama?

or

From:		"real email"
Subject:	para tã‚­
Attachment:	Lorenaaaa.pif
Body:		Si el adjunto esta defectuoso reenviamelo.

or

From:		"real email"
Subject:	Informaciã‚on sobre Sars
Attachment:	SARS.pif
Body:		Ayズdenos a contrarrestar el SARS, por favor aprenda como se contagia y sus efectos.

or

From:		"real email"
Subject:	Para mis amigos
Attachment:	amigos.pif
Body:		De un amigo para un amigo.

or

From:		"real email"
Subject:	Eres un perdedor
Attachment:	Madonna_sEXY.pif
Body:		Eres un perdedor no te atreves ni a mirar la foto que te doy.

or

From:		"real email"
Subject:	Spam..
Attachment:	Spamno.pif
Body:		Di no al SPAM.

or

From:		"real email"
Subject:	Para mis verdaderos amigos
Attachment:	amigototote.pif
Body:		Te lo mereces, eres un verdadero amigo

or

From:		"real email"
Subject:	Para ti nomas
Attachment:	solo-a-ti.pif
Body:		Para ti y nadie mã‚¡s

or

From:		"real email"
Subject:	Necesito su ayuda
Attachment:	resetarios.pif
Body:		Tengo problemas con este archivo, seria tan amable de revisarlo por mi?

or

From:		"real email"
Subject:	Sexo y mã‚¡s
Attachment:	relacionsexual.pif
Body:		10 formas para disfrutar de sus relaciones sexuales

or

From:		"real email"
Subject:	Linux se vende a Microsoft!
Attachment:	linuxandmicrosoft.pif
Body:		Al parecer Linux murio y se vendio a microsoft

or

From:		"real email"
Subject:	Recuerda!
Attachment:	lacosha@hotmail.com
Body:		Espero que siempre me escribas.

or

From:		"real email"
Subject:	Esta si que es puta!
Attachment:	Shakira.pif
Body:		NO hables mã‚¡s y dime si es puta

or

From:		"real email"
Subject:	Tu Soft
Attachment:	CracksPPZ.pif
Body:		Aquã‚­ estan los cracks para los programas que pediste

or

From:		"real email"
Subject:	La Virgen Marã‚­a no es virgen
Attachment:	MariaVirgen.pif
Body:		No me crees? velo tu mismo

or

From:		"real email"
Subject:	Mズsica Digital Gratis
Attachment:	Mズsica.pif
Body:		Bã‚¡jate todas las canciones que quieras.

or

From:		"real email"
Subject:	te gusta?
Attachment:	thalialoca.pif
Body:		espero que te guste, si no es asi dimelo.

There are also three more variants of infected emails, but they are not used because of a bug in the worm's code:

 Subject:	Mamalo
Attachment:	mamalo.pif
Body:		Mamalo que ta grande.....
 Subject:	La mejor forma de cortar a un chico
Attachment:	sindolor.pif
Body:		Las 10 mejores formas para hacer esto menos doloroso.
 Subject:	Amistad
Attachment:	friends.pif
Body:		Usted es uno de mis mejores amigos.

The worm also spreads via a few popular file sharing networks: Kazaa, E-Donkey, Gnunella, Limewire, Morpheus, Grokster. It copies itself to following P2P file sharing network and to shared directories:

\KaZaA\My Shared Folder\ 
\edonkey2000\incoming\ 
\gnucleus\downloads\

\icq\shared files\

\kazaa lite\my shared folders\

\limewire\shared\

\morpheus\my shared folder\

\Grokster\My Grokster\

The worm copies have names that are composed using the following combinations:

"Sexy Bikini" +
 "Galilea Montijo"
 +
 ".gif
.exe"
"Sexo en la playa con"
"Shakira"
"las pelotas de"
"Britney Spears"
"Desnuda en la playa"
 "Lorena"
"Nude Pic"
"Halle berry"
"Sexy Beach""Cameron dias"
"Pink"
"Thalia"
"Paulina Rubio"
"Francini"
"Brenda"
"Celine Dion"
"Kylie Minogue"
"Laura Pausini"
"Lili Brillanti"
"Angelica Vale"
"Alejandra Guzman"

"Kazaa	Media Desktop"
 +
" Cracked.exe"
"ICQ Lite"

 " crack all versions.exe"
"WinZip" " .exe"
"iMesh"
" KeyGen.exe"
"AOL Instant Messenger	(AIM)"

" Fullversion.exe"
"ICQ Pro 2003a	beta"
"Morpheus"
"Ad-aware"
"Trillian"
"Download Accelerator Plus"
"ZoneAlarm"
"Grokster"
"WinRAR"
"DivX Video Bundle"
"RealOne Free Player"
"NetPumper"
"Adobe	Acrobat	Reader (32-bit)"
"JetAudio Basic"
"WS_FTP LE (32-bit)"
"SnagIt"
"Registry Mechanic"
"WinMX"
"MSN Messenger	(Windows NT/2000)"
"Biromsoft WebCam"
"Nero Burning ROM"
"Microsoft Windows Media Player"
"Spybot - Search & Destroy"
"Copernic Agent"
"Winamp"
"Diet Kaza"
"SolSuite 2003: Solitaire Card	Games Suite"
"Pop-Up Stopper"
"QuickTime"
"XoloX	Ultra"
"Microsoft Internet Explorer"
"Network Cable	e ADSL Speed"
"Kazaa	Download Accelerator"
"Global DiVX Player"
"DirectDVD"
"Kaspersky Antivirus"
"PerAntivirus"
"Norton Antivirus"
"Panda	Antivirus"
"McAfee Antivirus"
"Microsoft Office XP"
"Microsoft Windows 2003"
"Office 2003"
"Visual Studio	Net"
"Delphi 6"
"msn hack"
"Matrix Movie"
"Virtual Girl Sofã‚­a"
"FireWorks 4"
"FIreWorks MX"
 

For example the worm's file names can have the following names:

"Sexy Bikini Galilea Montijo.gif
.exe"
"Sexy Bikini Shakira.gif
.exe"
"Kazaa Media Desktop Cracked.exe"
"Kazaa	Media Desktop crack all versions.exe"
 

When infected messages are sent, the worm plays the standard "system start" sound.

Mapson worm creates the "C:\lorraine.hta" file, writes the HTML message there and on 4th of each month opens it:

Lorraine Worm [GEDZAC LABS 2003]
 W32/Lorraine - Gedzac Labs 2003
 //***********[GEDZAC LABS 2003]***********//
 W32/Lorraine by Falckon/GEDZAC
 wOrm hecho en Delphi 6 Dedicado a mi Lorena
 Hecho en Mã‚eXiKO
 http://www.viriizone.tk
 Gedzac Labs

In July each day the worm displays the following messages:

Lorraine Worm [GEDZAC LABS 2003]
 Creado por Falckon/GEDZAC
 Dedicado a mi G. Lorena R. S.,http://www.vsantivirus.com/renalo.htm