Virus Mapson

Efectos:

Mapson es un gusano sin efectos destructivos que realiza las siguientes acciones en el ordenador afectado:

• Muestra tres mensajes en pantalla:
  Cuando se ejecuta, muestra el siguiente mensaje:
  Error
  Archivo Parcialmente Corrupto remplazelo por uno nuevo
  
  El mes de julio, muestra dos ventanas con las siguientes características:
  -Título: Lorraine Worm [GEDZAC LABS 2003]
  -Texto:Creado por Falckon/GEDZAC
  
  -Título: Lorraine Worm [GEDZAC LABS 2003]
  -Texto: Dedicado a mi G. Lorena R. S.,http://www.vsantivirus.com/renalo.htm
• El día 4 de cada mes, Mapson ejecuta el navegador de Internet y muestra una página web con información del creador del virus.
• Crea múltiples copias de sí mismo en el ordenador afectado.

Metodo de infección:

Mapson crea los siguientes ficheros:

• LORRAINE.HTA, en el directorio raíz. Es un fichero escrito en lenguaje HTML que contiene datos sobre el autor del virus. Mapson ejecuta este fichero el día 4 de cada mes.
• LORRAINE.VXD en el directorio raíz.
• LORRAINE.EXE en el directorio de sistema de Windows.
• Además, crea múltiples copias de sí mismo en el directorio de sistema con los siguientes nombres:
  AMIGOS.PIF
  AMIGOTOTOTE.PIF
  AMOR-POR-TI.PIF
  ANTIWINLOGON.PIF
  ANTROX.SCR
  BIGBROTHER.PIF
  BUGMSN.PIF
  CHISTESGRAFICOS.PIF
  CHUPAMELO.PIF
  COMOTEGUSTAN.PIF
  CRACKSPPZ.PIF
  CRISTINA-AGUILERA.PIF
  DATE: 6/7/2003 3:49 PM
  DEFACED-MADONNA-SITE.PIF
  EGGBROTHER.EXE
  EICAX.COM
  EXISTEEE.PIF
  FINANCIAMIENTO.PIF
  GEDZAC.PIF
  GRANCARNAL.EXE
  GRANDE.PIF
  HACKEAHOTMAIL.PIF
  HISTORIAL.PIF
  HOTMAIL.PIF
  KAMASUTRA.PIF
  LACOSHA@HOTMAIL.COM
  LATINCARD.PIF
  LINUXANDMICROSOFT.PIF
  LORENAAAA.PIF
  LORRAINE.EXE
  MADONNA_SEXY.PIF
  MARIAVIRGEN.PIF
  MATRIX-TRAILER.PIF
  MUJERES.PIF
  MÚSICA.PIF
  NO-SPAM.EXE
  NUEVOVIRUS.TXT .PIF
  ORADORES.PIF
  OSAMABINHUEVOBACK.EXE
  PAREJAIDEAL.TXT.PIF
  PETARDAS.PIF
  PORQUETEAMO.PIF
  PROJIMO.PIF
  RELACIONSEXUAL.PIF
  RESETARIOS.PIF
  SARS.PIF
  SEGURIDAD_EN_HOTMAIL.PIF
  SERHACKER.PIF
  SHAKIRA.PIF 
  SIZE: 180.736 BYTES
  SOLO-A-TI.PIF
  SPAMNO.PIF
  TEAMO.EXE
  TE-PIDO.SCR
  TEST-IDIOTA.PIF
  TESTPASION.PIF
  THALIALOCA.PIF
  TUTORIALVBSVIRUS.PIF
  WINDOWSMEDIAPLAYERBUG.PIF
  WWW.MFERNANDA.COM
  WWW.VSANTIVIRU.COM
  WWW.ZONAVIRU.COM
  ZORROTTTAS.PIF

Mapson crea la siguiente entrada en el Registro de Windows:

• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  Lorraine = “Lorraine.exe”
  Mediante esta entrada, Mapson consigue ejecutarse cada vez que se inicia Windows.

Metodo de propagación:

Mapson se propaga a través del correo electrónico y de los programas de intercambio de ficheros punto a punto (P2P).

1- Propagación a través del correo electrónico:

Mapson realiza el siguiente proceso:

• Una vez ejecutado en el equipo, comprueba si está instalado el programa de mensajería instantánea MSN Messenger.
• En caso positivo envía, a través del correo electrónico, una copia de sí mismo a todos los contactos que encuentre en la Lista de contactos de ese programa.

El mensaje que envía será uno de los siguientes:

• Remitente:
  bigbrother@bigbrother.tv
  Asunto:
  Big Brother te espera
  Contenido del mensaje:
  Felicidades! le hemos enviado este E-Mail porque usted ha ganado un pasaje a México al programa Reality show BigBrother,si usted quiere participar en este programa deberá abrir el archivo adjunto.
  Fichero adjunto:
  BIGBROTHER.PIF
• Remitente:
  support@hotmail.com
  Asunto:
  Su cuenta de hotmail sera eliminada
  Contenido del mensaje:
  Estimado usuario de hotmail,debido al trafico en el servidor y a las fallas que se han venido presentando en este presente mes,hemos de informarle que su cuenta será removida de nuestra base de datos en menos de 24 horas, le rogamos por favor lea el adjunto con los pasos para evitar que esto suceda. Atentamente el Equipo tecnico de Hotmail.
  Fichero adjunto:
  HOTMAIL.PIF
• Remitente:
  support@passport.com
  Asunto:
  10 reglas de seguridad para su cuenta de hotmail
  Contenido del mensaje:
  Amable Usuario de hotmail, la razón de este mail es para darle a conocer las 10 reglas de seguridad que un usuario de passport debe tener en cuenta para evitar que su cuenta sea borrada, hackeada etc...las reglas están en el adjunto.
  Atentamente equipo tecnico de passport
  Fichero adjunto:
  SEGURIDAD_EN_HOTMAIL.PIF

Si quiere comprobar los otros posibles mensajes de correo a través de los cuales se propaga Mapson, pulse aquí.

2- Propagación a través de los programas de intercambio de ficheros punto a punto.

Mapson realiza el siguiente proceso:

• Crea más de 400 copias de sí mismo en los directorios compartidos de estos programas (KaZaA, Edonkey2000, Morpheus...). Exactamente, se copia en los siguientes directorios:
  %ProgramFilesDir%\KaZaA\My Shared Folder\
  %ProgramFilesDir%\edonkey2000\incoming\
  %ProgramFilesDir%\gnucleus\downloads\
  %ProgramFilesDir%\icq\shared files\
  %ProgramFilesDir%\kazaa lite\my shared folders\
  %ProgramFilesDir%\limewire\shared\
  %ProgramFilesDir%\morpheus\my shared folder\
  %ProgramFilesDir%\Grokster\My Grokster\
  
  Si quiere comprobar la lista de ficheros que crea en estos directorios, pulse aquí.

• Otros usuarios de estos programas podrán acceder de manera remota a estos directorios compartidos. Así, se descargarán voluntariamente en su ordenador alguno de los ficheros creados por Mapson, pensando que se trata de aplicaciones informáticas interesantes, películas, imágenes, etc. En realidad, se estarán descargando en sus ordenadores una copia del gusano.

• Al ejecutar el fichero descargado, esos otros ordenadores quedarán afectados por Mapson.

Otros detalles:

Mapson está escrito en lenguaje de programación Delphi. El gusano tiene un tamaño de 180736 Bytes y está comprimido con UPX.