HOME
NOTICIAS
REDES WIRELESS
PREGUNTAS FRECUENTES
GLOSARIO
VIRUS
ARTÍCULOS
INTRUSIONES
Google
 
Web www.virusprot.com

WORM / GUSANO INFORMÁTICO
Enciclopedia de Virus
Virus Importantes
Guía de Antivirus
InfoVirus
Historia de los Virus

Lohack.B

 

Índice

Reportado in the wild el 15 de julio de 2003, Lohack.B es un gusano de propagación masiva vía correo electrónico, redes peer-to-peer Kazaa y recursos de red compartidos que utiliza como señuelo para conseguir difundirse al mayor número de sistemas la Ley de Servicios de la Sociedad de la Información (LSSI) española.

Escrito en Visual Basic y comprimido con la herramienta UPX v1.23, Lohack.B infecta con tan sólo pre-visualizar el mensaje, aprovechando la vulnerabilidad MIME (Multipurpose Internet Mail Extensions) de algunas versiones de Microsoft Outlook, Outlook Express que permiten que el archivo anexado sea ejecutado automáticamente, sin necesidad de que el usuario receptor del mensaje lo active, al tener configurada la opción de Vista Previa.

Afecta a todos los sistemas operativos de Windows (excepto IIS) y emplea la técnica e-mail spoofing, que disfraza las verdaderas direcciones de los Remitentes sustituyéndolas por las del Ministerio de Ciencia y Tecnología español o por la de Panda Antivirus.

El Asunto del mensaje es seleccionado al azar de entre los siguientes:

  • Información sobre la LSSICE

  • Información sobre la LSSICE y sus consecuencias

  • Nuestras libertades en internet en peligro

  • FW:AVISO IMPORTANTE: un nuevo virus llamado LSSICE aparece en internet

  • FW:CAMPAÑA de información sobre la LSSICE

  • Fw: Te reenvío esta presentación que me ha llegado, ya me contarás

  • NUEVO VIRUS muy PELIGROSO

  • Resumen de la ley de internet

  • Nuevas formas de control

  • a las buenas

  • palabrerias

  • importante ACTUALIZACIÓN PARA WINDOWS

  • el fichero que me pediste

  • Acelerador de descargas ultra pequeño!!

  • Salvapantallas cachondisimo

  • PandaSoftware: Nueva utilidad para protegerte de hop.a

El Contenido tiene formato HTML y puede incluir un JavaScript que muestra una de las siguientes cadenas de texto:

  • Tal día como hoy, el fenómeno auto-censura comenzó en españa...

  • gracias a la LSSICE (www.lssi.es)

  • este mail está dedicado a todos aquellos que día a día...

  • luchan por recortarnos las libertades enmascarándolo con bonitas palabras

  • Perdón por las molestias. Hasta la próxima

  • para saber más mira la presentación que te adjunto

  • El siguiente texto:

AVISO URGENTE

PandaSoftware Antivirus acaba de publicar su última
herramienta para remover el gusano hop.a Esta
herramienta no solo remueve de su sistema el
gusano/virus si es encontrado, sino que le protege
de posibles infecciones futuras.

Intrucciones de instalación:

Ejecutar el fichero adjunto y reiniciar el ordenador

----------------------------------------------------

PandaSoftware Antivirus - http:/ /www.pandasoftware.es

El Archivo Adjunto también se selecciona al azar de entre:

  • ww.lssi.es.exe

  • ww.mcyt.com.exe

  • ley.pdf.exe

  • resumen.txt.exe

  • texto.txt.exe

  • ley lssi.pdf.exe

  • ley de internet y el comercio electronico.txt.exe

  • que no jueguen con tus libertades.txt.exe

  • texto integro de la lssice.txt.exe

  • NO A LA LSSICE, otra internet es posible.txt.exe

  • ww.senado.lssice.es.exe

  • Rg2catdb.exe

  • presentacion.exe

  • downloadit.exe

  • xscreensaver.scr

  • FixWin32-hop.a.exe

Ejecutado automáticamente por la explotación de la vulnerabilidad antes mencionada, el gusano en el directorio C:\ el archivo LSSI INFO.TXT que contiene el texto en español: Informacion sobre la LSSIC

Luego copia los dos siguientes archivos de texto al mismo directorio:

  • C:\NO A LA LSSICE.txt
    C:\i-worm_info.txt

Para finalmente auto-copiarse con el nombre de los siguientes archivos infectados:

  • C:Windows_update.exe
    %Windir%\Explorer.exe

Asimismo, el gusano se registra como un proceso con el objeto de ocultar su presencia bajo Windows 95/98/Me y, para ejecutarse la próxima vez que se inicie el sistema, modifica la siguiente entrada en el registro: 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"WindowsUpdate" = "C:\windows_update.exe"

El gusano modifica el archivo WIN.INI para activarse al reiniciarse en Windows 95/98/Me:

WIN.INI
[windows]
run = windows_update.exe

Para extraer la dirección de correo del usuario del sistema infectado y su servidor SMTP crea la siguiente clave:

[HKEY_CURRENT_USER\Software\Microsoft
\Internet Account Manager\Accounts]

El gusano revisa las cuentas de correo .NET y extrae las direcciones de los contactos de las siguientes claves de registro:

[HKEY_CURRENT_USER\Software\Microsoft\MessengerService
\ListCache\.NET Messenger Service]
[HKEY_CURRENT_USER\Software\Microsoft\MSNMessenger
\ListCache\.NET Messenger Service]

Si el usuario con el sistema infectado está conectado a Internet, cada 10 segundos el gusano ejecuta una llamadoa hacia el dominio ww.microsoft.com.

Para infectar a través de Kazaa modifica la llave de contenido de archivos, agregándole los valores:

[HKEY_CURRENT_USER\Software\Kazaa\LocalContent]
"dir0" = "012345:C:\"
"dir1" = "012345:C:\"
"dir2" = "012345:D:\"

Para infectar a otros usuarios de KaZaA se auto-copia a las unidades C:\ y D:\ con los siguientes nombres:

  • Microsoft OfficeXP key Generator.exe

  • MicrosoftWindowsXP key Generator[by_ka0s_te4m].exe

  • Microsoft Universal Crack.exe

  • Macromedia Flash 5 key Generator.exe

  • AdobePhotoshop 7 crack.exe

  • gta3 crack NO CD.exe

  • HackersTools 7.5.exe

  • Tony Hawks pro Skater4!!! crack.exe

  • Macromedia Universal crack.exe

  • Adobe uniVersal crack.exe

  • Unreal Tournament 2003 KeyMaker [by_nobody].exe

El gusano también puede copiarse a sí mismo, apuntando al valor de esta clave:

[HKEY_CURRENT_USER\Software\Kazaa\Transfer]
"DlDir0"

Luego enumera los recursos de la Red e intenta conectarse a aquellos sin restricción, para después copiarse a dichos recursos compartidos, bajo los siguientes nombres de archivos:

  • ww.lssi.es.exe

  • ww.mcyt.com.exe

  • ley.pdf.exe

  • resumen.txt.exe

  • texto.txt.exe

  • ley lssi.pdf.exe

  • ley de internet y el comercio electronico.txt.exe

  • que no jueguen con tus libertades.txt.exe

  • texto integro de la lssice.txt.exe

  • NO A LA LSSICE, otra internet es posible.txt.exe

  • ww.senado.lssice.es.exe

  • Rg2catdb.exe

  • presentacion.exe

  • downloadit.exe

  • xscreensaver.scr

  • XXX.jpg.exe

  • nuevo_virus_en_internet-LEEME.txt.exe

  • fotos.del.ultimo.viaje.html.exe

  • salvador_de_pantallas.scr

  • README.txt.exe

  • tarifa_plana_DE_VERDAD_ya.html.exe

  • no_queremos_vivir_asi.html.exe

  • por_una_sociedad_mas_justa.html.exe

  • FUERA_la_LSSI.es_INNECESARIA.html.exe

  • vuelve_la_INQUISICION.html.exe

  • NO_al_control_informativo.html.exe

  • NO_a_la_MANIPULACION_informativa.html.exe

  • NO_a_la_CENSURA_informativa.txt.exe

  • NO_queremos_vuestra_ley_INCONSTITUCIONAL.html.exe

  • NO_queremos_vuestra_ley_DISCRIMINATORIA.doc.exe

Para el envío masivo de mensajes, revisa el contenido de las unidades de discos C: y D y extrae las direcciones de de correo en los archivos con las siguientes extensiones: .wab, .dbx, .mbx, .pst, .pmr, .pmo, .html y .htm

Los lectores de esta página también consultaron:
Virus de Hoy, Antivirus de Ayer...
Virus en PDAs
Virus y Antivirus
Fin del Reinado de la Seguridad Perimetral


VIRUSPROT.COM - Seguridad Informática, Virus y Seguridad Wifi
Copyright © VIRUSPROT.COM