Sophos

W32/Mapson-A

Alias
  • I-Worm.Mapson
  • W32.Mapson.Worm
Categoría
Tipo
Qué hacer
Prevalencia baja alta

Resumen

 
Incluido en nuestros productos desde Julio 2003 (3.71)
Protección disponible desde 28 de septiembre de 2003 09:46:41 (GMT)
Detectado por Todos los productos de Sophos

Acción

Vea la información para eliminar gusanos.

Vea la información (en inglés) para eliminar gusanos.

Windows NT/2000/XP

En Windows NT/2000/XP necesitará editar el registro del sistema para eliminar las entradas creadas por el gusano (opcional en Windows 95/98/Me).

Abra el editor del registro de Windows y haga una copia de seguridad antes de modificarlo.

En HKEY_LOCAL_MACHINE localice y borre la entrada:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Lorraine =
<Windows System>\Lorraine.exe

Cierre el editor del registro.

Más información

W32/Mapson-A es un gusano de email que también se extiende a través de redes de intercambio de archivos. Al ejecutarse, el gusano se copia en la carpeta System de Windows con los siguientes nombres:

amigos.pif
amigototote.pif
amor-por-ti.pif
antiwinlogon.pif
antrox.scr
BigBrother.pif
bugmsn.pif
chistesgraficos.pif
chupamelo.pif
comotegustan.pif
CracksPPZ.pif
cristina-aguilera.pif
defaced-madonna-site.pif
eggbrother.exe
EICAX.COM
existeee.pif
financiamiento.pif
GEDZAC.PIF
grancarnal.exe
grande.pif
hackeahotmail.pif
historial.pif
hotmail.pif
kamasutra.pif
lacosha@hotmail.com
LatinCard.pif
linuxandmicrosoft.pif
Lorenaaaa.pif
Madonna_sEXY.pif
MariaVirgen.pif
Matrix-Trailer.pif
mujeres.pif
Musica.pif
No-Spam.exe
nuevovirus.txt .pif
Oradores.pif
osamabinhuevoback.exe
parejaideal.txt.pif
petardas.pif
porqueteamo.pif
projimo.pif
relacionsexual.pif
resetarios.pif
SARS.pif
seguridad_en_hotmail.pif
serhacker.pif
Shakira.pif
solo-a-ti.pif
Spamno.pif
teamo.exe
te-pido.scr
test-idiota.pif
testpasion.pif
thalialoca.pif
TutorialVBSvirus.pif
WindowsMediaPlayerBug.pif
www.mfernanda.com
www.vsantiviru.com
www.zonaviru.com
zorrotttas.pif

El adjunto del email en el que llega tendrá uno de esos nombres.

W32/Mapson-A obtiene las direcciones de la lista de contactos de MSN Messenger del usuario.

El gusano también se copia en <Windows System>\Lorraine.exe y C:\Lorraine.vxd y crea la siguiente entrada en el registro para activarse en el inicio del sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Lorraine =
<Windows system>\Lorraine.exe

Al ejecutarse, el gusano mostrará el falso mensaje de error "Error. Archivo Parcialmente Corrupto remplacelo por uno nuevo".

W32/Mapson-A se copia en las siguientes carpetas compartidas en redes de intercambio de archivos:

\edonkey2000\incoming\
\gnucleus\downloads\
\icq\shared files\
\KaZaA\My Shared Folder\
\kazaa lite\my shared folders\
\limewire\shared\
\morpheus\my shared folder\
\Grokster\My Grokster\

Los nombres los crea a partir de diferentes listas con cadenas de texto:

<cadena1> <cadena2>.gif .exe
(por ejemplo, Nude Pic Britney Spears.gif .exe)

Donde <cadena1> lo toma de esta lista:
Desnuda en la playa
las pelotas de
Nude Pic
Sexo en la playa con
Sexy Beach
Sexy Bikini

Y <cadena2> lo toma de esta lista:
Alejandra Guzman
Angelica Vale
Brenda
Britney Spears
Cameron dias
Celine Dion
Francini
Galilea Montijo
Halle berry
Kylie Minogue
Laura Pausini
Lili Brillanti
Lorena
Paulina Rubio
Pink
Shakira
Thalia 

<cadena3> <cadena4>.exe
(por ejemplo, Kazaa Media Desktop KeyGen.exe)

Donde <cadena3> lo toma de esta lista:
Ad-aware
Adobe Acrobat Reader (32-bit)
AOL Instant Messenger (AIM)
Biromsoft WebCam
Copernic Agent
Delphi 6
Diet Kaza
DirectDVD
DivX Video Bundle
Download Accelerator Plus
FireWorks 4
FIreWorks MX
Global DiVX Player
Grokster
ICQ Lite
ICQ Pro 2003a beta
iMesh
JetAudio Basic
Kaspersky Antivirus
Kazaa Download Accelerator
Kazaa Media Desktop
Matrix Movie
McAfee Antivirus
Microsoft Internet Explorer
Microsoft Office XP
Microsoft Windows Media Player
Microsoft Windows 2003
Morpheus
msn hack
MSN Messenger (Windows NT/2000)
Nero Burning ROM
NetPumper
Network Cable e ADSL Speed
Norton Antivirus
Office 2003
Panda Antivirus
PerAntivirus
Pop-Up Stopper
QuickTime
RealOne Free Player
Registry Mechanic
SnagIt
SolSuite 2003: Solitaire Card Games Suite
Spybot - Search & Destroy
Trillian
Virtual Girl Sofia
Visual Studio Net
Winamp
WinMX
WinRAR
WinZip
WS_FTP LE (32-bit)
XoloX Ultra
ZoneAlarm

Y <cadena4> lo toma de esta lista:
crack all versions
Cracked
Full version
KeyGen

En julio el gusano muestra 2 mensajes sobre el autor y el gusano.
W32/Mapson-A también crea el archivo C:\lorraine.hta, con información sobre el gusano y que ejecutará el día 4 de cada mes.

RSS|Atom
Recibir informes sobre las amenazas de virus y programas espía más recientes