I-Worm.Mapson
The Mapson Internet worm spreads via the Internet attached to infected emails and through file sharing networks and folders.
The worm itself is a Windows PE EXE file about 180K in size when compressed by UPX, the decompressed size is about 440K). It is written in Borland Delphi 6.0.
Installing
While installing the worm copies itself to the Windows system directory using the name Lorraine.exe. It them registers this file in the system registry auto-run key:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Lorraine = %SystemDir%\Lorraine.exe
The Mapson worm also copies itself to C: root directory under the name Lorraine_vxd and to the Windows system directory using the following names:
amigos.pif
amigototote.pif
amor-por-ti.pif
antiwinlogon.pif
antrox.scr
BigBrother.pif
bugmsn.pif
chistesgraficos.pif
chupamelo.pif
comotegustan.pif
CracksPPZ.pif
cristina-aguilera.pif
defaced-madonna-site.pif
eggbrother.exe
EICAX.COM
existeee.pif
financiamiento.pif
GEDZAC.PIF
grancarnal.exe
grande.pif
hackeahotmail.pif
historial.pif
hotmail.pif
kamasutra.pif
lacosha@hotmail.com
LatinCard.pif
linuxandmicrosoft.pif
Lorenaaaa.pif
Madonna_sEXY.pif
MariaVirgen.pif
Matrix-Trailer.pif
mujeres.pif
MËsica.pif
No-Spam.exe
nuevovirus.txt .pif
Oradores.pif
osamabinhuevoback.exe
parejaideal.txt.pif
petardas.pif
porqueteamo.pif
projimo.pif
relacionsexual.pif
resetarios.pif
SARS.pif
seguridad_en_hotmail.pif
serhacker.pif
Shakira.pif
solo-a-ti.pif
Spamno.pif
te-pido.scr
teamo.exe
test-idiota.pif
testpasion.pif
thalialoca.pif
TutorialVBSvirus.pif
WindowsMediaPlayerBug.pif
www.mfernanda.com
www.vsantiviru.com
www.zonaviru.com
zorrotttas.pif
Spreading: Email
To send infected messages the worm uses a built-in SMTP engine. The worm gets victim email addresses from the MSN Messenger contact list (up to 2000 emails).
The infected messages have a plain text format and the worm activates from infected email only when (if) a user clicks on the infected file attachment.
The infected messages have various fields: "From", "Subject", message body and the attached file name.
Below "real email" means that the worm uses a fake email address in the "From" field, this email address is randomly selected from emails found on affected machines; While "empty" means the field is empty.
The data in the email message fields are randomly selected from 60 variants depending on current time (specifically the seconds).
Variant 1:
From: bigbrother@bigbrother.tv
Subject: Big Brother te espera
Attach: BigBrother.pif
Body:
Felicidades! le hemos enviado este E-Mail porque usted ha ganado un pasaje
a MÊxico al
programa
Reality show BigBrother,si usted quiere participar en este programa deberÂ
abrir el archivo
adjunto.
Variant 2:
From: support@hotmail.com
Subject: hotmail.pif
Attach: Su cuenta de hotmail
sera eliminada
Body:
Estimado usuario de hotmail,debido al trafico en el servidor y a las fallas
que se han venido
presentando en este presente mes,hemos de informarle que su cuenta serÂ
removida de nuestra
base de datos en menos de 24 horas, le rogamos por favor lea el adjunto
con los pasos para
evitar que esto suceda. Atentamente el Equipo tecnico de Hotmail.
Variant 3:
From: support@passport.com
Subject: 10 reglas de seguridad para
su cuenta de hotmail
Attach: seguridad_en_hotmail.pif
Body:
Amable Usuario de hotmail, la razÕn de este mail es para darle a
conocer las 10 reglas de
seguridad que un usuario de passport debe tener en cuenta para evitar que
su cuenta sea
borrada, hackeada etc...las reglas estÂn en el adjunto.Atentamente
equipo tecnico de passport
Variant 4:
From: hacker@hotmail.com
Subject: ?Puedo ser hacker en 24 horas?
Attach: serhacker.pif
Body:
No. La respuesta es un no rotundo. Ni en 24 ni en 48 horas :) Pero en este
tiempo sÎ puedes
tener una idea aproximada y muy bÂsica de lo que es y de lo que 'no
es' un hacker y decidir si
quieres convertirte en uno de ellos. Te recomiendo que leas el archivo
que te mando, esta en
espaÓol y es muy interesante acerca de estos temas (hacking,cracking,vulnerabilidades).
Variant 5:
From: "real email"
Subject: Problema de seguridad en Windows
Media Player
Attach: WindowsMediaPlayerBug.pif
Body:
Windows Media Player, el reproductor multimedia que acompaÓa gratuitamente
a los sistemas
Microsoft, se ve afectado por un problema de seguridad que puede permitir
la ejecuciÕn de
cÕdigo en la mÂquina del usuario atacado.por lo que recomendamos
leer mÂs acerca de este
bug en el adjunto y aplicar los correspondientes parches de seguridad.
Variant 6:
From: "real email"
Subject: ?CÕmo hackear hotmail?
Attach: hackeahotmail.pif
Body:
Hola, he estado buscando en la red y encontrÊ esta guÎa de
hacking que enseÓa como hackear
hotmail,orienta al robo de cuentas, imagÎnate robarle la cuenta a
tu novia, tu amigo etc.. a
quien quieras, te lo aseguro yo ya lo leÎ y lo comprobÊ, disfrßtalo.
Variant 7:
From: notice@madonna.com
Subject: Hackean pÂgina de Madonna
sospechosa de envenenar KaZaA
Attach: defaced-madonna-site.pif
Body:
Tras sospecharse que Madonna contaminÕ la red KaZaA con algunos
archivos envenenados, un
grupo hacker ha contraatacado asaltando su pÂgina y colgando algunos
de los temas de su
ßltimo Âlbum en formato MP3.mÂs de esta revelante noticia
en el adjunto.
Variant 8:
From: "real email"
Subject: ?Que le atrae a las mujeres?
Attach: mujeres.pif
Body:
Un reciente estudio del comportamiento en la mujer afirma que a ellas les
atrae de los
hombreses la cara, las manos y su movimiento, si quiere saber mÂs
lea por favor el articulo que
le adjuntamos
Variant 9:
From: Anti-Spam@campaÓa.com
Subject: SPAM La proxima gran epidemia
Attach: No-Spam.exe
Body:
El Spam esta avanzando constantemente y a logrado saturar nuestros correos
electronicostal
vez sea el principio de una epidemia mundial de esta peste que nos tiene
cansados de la
publicidad.
Variant 10:
From: test@hispasec.com
Subject: Tests antivirus para comprobar
la protecciÕn del e-mail
Attach: EICAX.COM
Body:
Hispasec pone a disposiciÕn de todos los usuarios dos tests para
comprobar el correcto
funcionamiento de la protecciÕn antivirus del correo electrÕnico.
El primero de ellos nos
indicar la correcta instalaciÕn y buen funcionamiento del
antivirus, mientras que el segundo
determinar la capacidad de detecciÕn proactiva para identificar
gusanos que explotan
vulnerabilidades conocidas.
Variant 11:
From: Amor@teamo.com
Subject: Te amo
Attach: teamo.exe
Body: Lo amo a usted
por que es la persona mÂs linda del mundo.
Variant 12:
From: Latincards@latincards.com
Subject: LatinCards
Attach: LatinCard.pif
Body: Le han enviado
una LatinCard para poder visualizarla abra el adjuntoGracias.
Variant 13:
From: "real email"
Subject: Chistes GrÂficos
Attach: chistesgraficos.pif
Body: Estos son los
chistes grÂficos que mÂs me han gustado espero que a ti tambiÊn.
Variant 14:
From: lorena@hotmail.com
Subject: Te Amo
Attach: porqueteamo.pif
Body: Averigua por
que.....
Variant 15:
From: "real email"
Subject: Test de pasiÕn
Attach: testpasion.pif
Body: Test de pasiÕn
para usted y su pareja, contÊstelo y descubra cuanto desea y quiere
a
su pareja.
Variant 16:
From: Maria_fernanda@mfernanda.com
Subject: Re: Dime que te parece
Attach: www.mfernanda.com
Body:
Hola, como estÂs? hace tiempo que no se nada de ti... querÎa
hablar contigo sobre un tema.Se
trata de mi nuevo portal en el que quiero ofrecer toda mi recopilaciÕn
de links en espanol. Me
gustarÎa que le echaras un vistazo y me dijeras que tal lo ves tu,
si te gusta o cambiarÎas
algo.
Variant 17:
From: "real email"
Subject: RE: Test de idiotes
Attach: test-idiota.pif
Body: Compruebe si
usted es un verdadero idiota.
Variant 18:
From: "real email"
Subject: Kamasutra
Attach: kamasutra.pif
Body: Kamasutra el
arte del sexo
Variant 19:
From: "real email"
Subject: Su pareja ideal
Attach: parejaideal.txt.pif
Body:
Los 10 consejos para tener una pareja ideal,LÊalos y pÕngalos
en practica, le aseguro que
tendr resultadossatisfactorios.
Variant 20:
From: "real email"
Subject: Amor Real...
Attach: existeee.pif
Body: en verdad existe?
Variant 21:
From: support@passport.com
Subject: Vulnerabilidad Critica en
el Msn Messenger
Attach: bugmsn.pif
Body:
Una vulnerabilidad critica detectada en el msn messenger podrÎa provocar
el robo de su cuenta
de correoes importante que lea mas de esta vulnerabilidad para poderse
proteger de ella.
Variant 22:
From: "real email"
Subject: ?CÕmo puedo crear un
virus?
Attach: TutorialVBSvirus.pif
Body:
Esta pregunta siempre me la han hecho y creo que la voy a responder. Para
crear un virus no
necesitas saber mucho de computaciÕn, con solo conocer Un poco del
lenguaje de
programaciÕn
basta, por que no empiezas con el Visual Basic Script, te adjunto un tutorial
muy completo
acerca de este lenguaje y la creaciÕn de virusQue te diviertas.Bye.
Variant 23:
From: Webmaster@vsantiviru.com
Subject: Informate de los virus
Attach: www.vsantiviru.com
Body:
Hola, soy el webmaster de VSANTIVIRUS, estamos realizando una camapaÓa
Contra los virus
informaticos y nuestro deber es informarle a los usuarios como usted Que
es un virus, las
acciones que causan y como desinfectarse.Si usted desea acceder a toda
esta informaciÕn haga
el favor de hacer clic en el link que le adjuntamos.Gracias
Variant 24:
From: Webmaster@zonaviru.com
Subject: Zona Virus.com tu Zona Antivirica
en espaÓol
Attach: www.zonaviru.com
Body:
Hola, soy el webmaster de zonaviru y quiero invitarlo a visitar mi sitio
web, usted podrÂ
informarse sobre los ßltimos virus aparecidos, tambiÊn sabrÂ
como se crean estas alimaÓas
informÂticas,quienes los crean, como desinfectarse etc... mucha mucha
mÂs
informaciÕn.Cuento con su visita Gracias Atentamente el Webmaster
de ZonaVirus
Variant 25:
From: "real email"
Subject: Virus en Hotmail
Attach: nuevovirus.txt
.pif
Body:
Hola, se a dado una alerta por parte de las empresas antivirus, de un nuevo
virus que se
expande por hotmail, hasta el momento indetectable para cualquier producto
antiviral, por lo
que recomiendo leer las precauciones sobre este nuevo gusano informatico.
Para mÂs
informaciÕn, favor de leer el documento informativo.
Variant 26:
From: cristina_aguilera@cristina-aguilera.com
Subject: Cristina Aguilera Puta de
medio tiempo o mentira?
Attach: cristina-aguilera.pif
Body: es la mera
neta.
Variant 27:
From: "real email"
Subject: EGG Brother
Attach: eggbrother.exe
Body: LA ultima escena
de egg brother vivela ya.
Variant 28:
From: "real email"
Subject: Osama Bin Huevo regresa
Attach: osamabinhuevoback.exe
Body: Osama bin huevo
regresa con una nueva amenaza a los Huevos Unidos de AmÊrica
Variant 29:
From: "real email"
Subject: El Gran Carnal
Attach: grancarnal.exe
Body: Mirate que
asterisco se tiro encima de doÓa pepa jeje
Variant 30:
From: "real email"
Subject: A Dios le pido....
Attach: te-pido.scr
Body: Que si me muero
sea de amor y si me enamoro sea de vos....
Variant 31:
From: "real email"
Subject: Antro
Attach: antrox.scr
Body: Hey sin so
sobre tras ya no digas mÂs y despierta la locura!!!
Variant 32:
From: "real email"
Subject: Chupamelo
Attach: chupamelo.pif
Body: Chupamelo ya...
y dime que te parece.
Variant 33:
From: "real email"
Subject: Ta grande
Attach: grande.pif
Body: Lo tengo grande
y tß?
Variant 34:
From: "real email"
Subject: Tengo Sed...
Attach: amor-por-ti.pif
Body: Tengo sed de
amor por tÎ.
Variant 35:
From: "real email"
Subject: para usted
Attach: historial.pif
Body: Si te llego
mal, respondeme
Variant 36:
From: "real email"
Subject: "empty"
Attach: petardas.pif
Body: Si el adjunto
no funciona respondame lo mÂs antes posible
Variant 37:
From: "real email"
Subject: Alerta de virus
Attach: antiwinlogon.pif
Body:
Cuidado! este virus es peligroso puede formatearte el disco duro, llega
por hotmail sin que te
des cuenta, tu podrias estar infectado busca en tu sistema el archivo winlogon.exe,
si lo
tienes es mejor que utilizes la vacuna que te mando, hazlo cuanto antes!!
no esperes!!
Variant 38:
From: "real email"
Subject: Necesita comprar un auto?
Attach: financiamiento.pif
Body: Lo mejores
planes de financiamiento.
Variant 39:
From: "real email"
Subject: Zorras y mÂs zorras
Attach: zorrotttas.pif
Body: Zorritas gratis
dandole duro.
Variant 40:
From: "real email"
Subject: Matrix Trailer
Attach: Matrix-Trailer.pif
Body: Chequelo de
una vez!! no se lo pierda.
Variant 41:
From: "real email"
Subject: ?Sabe que es GEDZAC?
Attach: GEDZAC.PIF
Body: Por si no sabe
que es. una explicaciÕn muy precisa para usted.
Variant 42:
From: "real email"
Subject: Como te gustan?
Attach: comotegustan.pif
Body: A mi me gustan,
altas, bonitas, tetonas, nalgonas y tiernitas pero a ti como te gustan?
Variant 43:
From: "real email"
Subject: ??
Attach: Oradores.pif
Body: Hola necesito
tu ayuda con este archivo Gracias
Variant 44:
From: "real email"
Subject: Lo que nos enseÓa la
iglesia
Attach: projimo.pif
Body: La Iglesia
nos enseÓa a amar, querer al prÕjimo pero usted deberÂs
lo ama?
Variant 45:
From: "real email"
Subject: para tÎ
Attach: Lorenaaaa.pif
Body: Si el adjunto
esta defectuoso reenviamelo.
Variant 46:
From: "real email"
Subject: InformaciÕn sobre Sars
Attach: SARS.pif
Body: Ayßdenos
a contrarrestar el SARS, por favor aprenda como se contagia y sus
efectos.
Variant 47:
From: "real email"
Subject: Para mis amigos
Attach: amigos.pif
Body: De un amigo
para un amigo.
Variant 48:
From: "real email"
Subject: Eres un perdedor
Attach: Madonna_sEXY.pif
Body: Eres un perdedor
no te atreves ni a mirar la foto que te doy.
Variant 49:
From: "real email"
Subject: Spam..
Attach: Spamno.pif
Body: Di no al SPAM.
Variant 50:
From: "real email"
Subject: Para mis verdaderos amigos
Attach: amigototote.pif
Body: Te lo mereces,
eres un verdadero amigo
Variant 51:
From: "real email"
Subject: Para ti nomas
Attach: solo-a-ti.pif
Body: Para ti y nadie
mÂs
Variant 52:
From: "real email"
Subject: Necesito su ayuda
Attach: resetarios.pif
Body: Tengo problemas
con este archivo, seria tan amable de revisarlo por mi?
Variant 53:
From: "real email"
Subject: Sexo y mÂs
Attach: relacionsexual.pif
Body: 10 formas para
disfrutar de sus relaciones sexuales
Variant 54:
From: "real email"
Subject: Linux se vende a Microsoft!
Attach: linuxandmicrosoft.pif
Body: Al parecer
Linux murio y se vendio a microsoft
Variant 55:
From: "real email"
Subject: Recuerda!
Attach: lacosha@hotmail.com
Body: Espero que
siempre me escribas.
Variant 56:
From: "real email"
Subject: Esta si que es puta!
Attach: Shakira.pif
Body: NO hables mÂs
y dime si es puta
Variant 57:
From: "real email"
Subject: Tu Soft
Attach: CracksPPZ.pif
Body: AquÎ
estan los cracks para los programas que pediste
Variant 58:
From: "real email"
Subject: La Virgen MarÎa no es
virgen
Attach: MariaVirgen.pif
Body: No me crees?
velo tu mismo
Variant 59:
From: "real email"
Subject: Mßsica Digital Gratis
Attach: Mßsica.pif
Body: BÂjate
todas las canciones que quieras.
Variant 60:
From: "real email"
Subject: te gusta?
Attach: thalialoca.pif
Body: espero que
te guste, si no es asi dimelo.
There are also three additional infected email variants but they
are not used because of a bug in the worm code. They are:
Subject: Mamalo
Attach: mamalo.pif
Body: Mamalo que
ta grande.....
Subject: La mejor forma de cortar a
un chico
Attach: sindolor.pif
Body: Las 10 mejores
formas para hacer esto menos doloroso.
Subject: Amistad
Attach: friends.pif
Body: Usted es uno
de mis mejores amigos.
Spreading: P2P
The worm copies itself to the following P2P file sharing network
and to the following shared files directories:
\KaZaA\My Shared Folder\
\edonkey2000\incoming\
\gnucleus\downloads\
\icq\shared files\
\kazaa lite\my shared folders\
\limewire\shared\
\morpheus\my shared folder\
\Grokster\My Grokster\
Worm copies have the names that are built using the following combinations:
"Sexy Bikini"
+ "Galilea Montijo" + ".gif
.exe"
"Sexo en la playa con" "Shakira"
"las pelotas de"
"Britney Spears"
"Desnuda en la playa" "Lorena"
"Nude Pic"
"Halle berry"
"Sexy Beach"
"Cameron dias"
"Pink"
"Thalia"
"Paulina Rubio"
"Francini"
"Brenda"
"Celine Dion"
"Kylie Minogue"
"Laura Pausini"
"Lili Brillanti"
"Angelica Vale"
"Alejandra Guzman"
"Kazaa Media Desktop"
+ " Cracked.exe"
"ICQ Lite"
" crack all versions.exe"
"WinZip"
" .exe"
"iMesh"
" KeyGen.exe"
"AOL Instant Messenger (AIM)"
" Fullversion.exe"
"ICQ Pro 2003a beta"
"Morpheus"
"Ad-aware"
"Trillian"
"Download Accelerator Plus"
"ZoneAlarm"
"Grokster"
"WinRAR"
"DivX Video Bundle"
"RealOne Free Player"
"NetPumper"
"Adobe Acrobat Reader (32-bit)"
"JetAudio Basic"
"WS_FTP LE (32-bit)"
"SnagIt"
"Registry Mechanic"
"WinMX"
"MSN Messenger (Windows NT/2000)"
"Biromsoft WebCam"
"Nero Burning ROM"
"Microsoft Windows Media Player"
"Spybot - Search & Destroy"
"Copernic Agent"
"Winamp"
"Diet Kaza"
"SolSuite 2003: Solitaire Card Games Suite"
"Pop-Up Stopper"
"QuickTime"
"XoloX Ultra"
"Microsoft Internet Explorer"
"Network Cable e ADSL Speed"
"Kazaa Download Accelerator"
"Global DiVX Player"
"DirectDVD"
"Kaspersky Antivirus"
"PerAntivirus"
"Norton Antivirus"
"Panda Antivirus"
"McAfee Antivirus"
"Microsoft Office XP"
"Microsoft Windows 2003"
"Office 2003"
"Visual Studio Net"
"Delphi 6"
"msn hack"
"Matrix Movie"
"Virtual Girl SofÎa"
"FireWorks 4"
"FIreWorks MX"
Examples following this system:
"Sexy Bikini Galilea Montijo.gif
.exe"
"Sexy Bikini Shakira.gif
.exe"
etc.
File sharing network examples:
"Kazaa Media Desktop Cracked.exe"
"Kazaa Media Desktop crack all versions.exe"
&