eliminar virus w32.mapson.worm.

29/09/2003 - 02:02 por rafael acosta vargas | Informe spam
favor informar como eliminar : nombre del objeto
"C:/windows/system32/lorraine.exe"
nombre virus "w32.mapson.worm."
 

Leer las respuestas

#1 Mstaaravin
29/09/2003 - 03:22 | Informe spam
Efectos

Mapson.D produce los siguientes efectos:

Termina procesos correspondientes a Windows, así como diversos programas
antivirus, aplicaciones como firewalls, y programas de monitorización del
sistema. Esto deja al ordenador infectado vulnerable frente al ataque de
otros virus o gusanos.
Para ver una lista de los procesos terminados por Mapson.D, pulse aquí.
Inicia el servicio Telnet en el ordenador afectado, con lo que aumenta el
tráfico sobre el puerto 23.
En ordenadores con Windows NT, crea un usuario llamado GEDZAC, al que asigna
derechos de administrador local sobre el ordenador afectado.

Metodo de Infección

Mapson.D crea los siguientes ficheros:

FALCKON.VXD en el directorio raíz de la unidad C:. Este fichero es una copia
del gusano.
RUXDLL32.EXE en el directorio SYSTEM de Windows. Este fichero es una copia
del gusano.
-.TXT en el directorio raíz de la unidad C:. Este fichero de texto es
creado por el gusano tras realizar sus acciones.
Además, Mapson.D crea las siguientes copias de sí mismo en el directorio de
sistema de Windows:

AMOR.BAT, AMORES.PIF, ANIMACIONES.PIF, ANTI-BLASTER.EXE,
ANTI-BLASTERWORM.EXE, ANTIRUNDLL.EXE, BRITNEY.SCR, CHICAS.PIF,
CHICA-SEX.SCR, CONFIDENCIAL.PIF, CONFIDENTIAL-INFORMATION.PIF,
CONSEJOS-MUJERES.BAT, CONTRASEÑAS.PIF, CUENTASHOTMAIL.PIF, DISFUNCION.PIF,
DRIVERS-WINDOWS.EXE, ENGRUPO.PIF, FOTO-ALEMANIA.PIF, GENERATORVIRUSES.EXE,
GIRLPIC.PIF, HACKER-BIBLE.PIF, HACKWEBS.EXE, HOTMAILHACK.PIF,
HOTMAILHACKER.EXE, JUEGOCONLOSMUERTOS.PIF, K54403.EXE, KAMASUTRA.PIF,
LOVECARD.BAT, MAIL.BAT, MAILCRACK.BAT, MATRIXRELOADED.SCR,
MUY-INTERESANTE.PIF, NEWMAIL.SCR, NUEVOVIRUS.TXT.PIF, ORGASMO.PIF, P2P.PIF,
PAREJA.PIF, PAREJAIDEAL.PIF, PAULINA-RUBIO-CAMERON-DIAZ.SCR,
PLAYA_CANCUN.PIF, POSICIONES.EXE, PRIVACIDAD.PIF, Q832645.EXE, README.PIF,
RUXDLL32.EXE, SEXUAL-POSITIONS.BAT, SHAKIRA.SCR, SHAREKAZA.EXE,
SOFÍAVERGARA.SCR, TEAMO.PIF, THALÍA-SEX.PIF, UPDATE.EXE, VIRUSES.PIF,
VIRUS-FAQ.PIF, VIRUS-LIST.PIF, VULNERABILDADES.PIF,
WWW.HUEVOSYMASHUEVOS.COM, WWW.VSANTIVIRUS.COM and XTREME.PIF.

Mapson.D modifica el siguiente fichero:

SCRIPT.INI, en la carpeta de instalación del programa de chat mIRC, si
existe. Este fichero es detectado por Panda Antivirus como mIRC/Gen.
Mapson.D crea la siguiente entrada en el Registro de Windows:

HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run NAV "%sysdir%RuxDLL32.exe"
De este modo, consigue ejecutarse cada vez que se inicia Windows.


Método de Propagación

Mapson.D se propaga a través del correo electrónico, de los programas de
intercambio de ficheros punto a punto (P2P), de redes y del programa de chat
mIRC.

1.- Propagación a través del correo electrónico.

Mapson.D realiza el siguiente proceso:

Una vez ejecutado en el equipo, comprueba si está instalado el programa de
mensajería instantánea MSN Messenger.
En caso afirmativo, manda a través del correo electrónico una copia de sí
mismo a todas las direcciones del dominio hotmail.com que encuentre en la
Lista de contactos de ese programa.
La extensión de los ficheros adjuntos incluidos en el correo electrónico
siempre es EXE, PIF, SCR o COM .
El mensaje que envía será uno de los siguientes:

Remitente:

Asunto:
Alerta por Virus Blastes
Contenido:
Epidemia por virus Blaster! este mail es importante no los borres, el virus
Blaster se a estado reproduciendo con gran capacidad, es recomendable usar
el parche correctivo para la falla de su windows, por favor no espere más y
aplique el parchees por el bienestar de su máquina
Fichero adjunto:
Q832645.EXE
Asunto:
Nuevo Mensaje
Contenido:
Tienes un nuevo correo para verlo haz clic en del adjunto.
Fichero adjunto:
NEWMAIL.SCR
Asunto:
Messenger y la Privacidad.
Contenido:
Este documento habla sobre las desventajas de usar el Msn Messenger como
mensajero instantáneo, cualquierduda se le respondera en el documento.
Fichero adjunto:
PRIVACIDAD.PIF

Si quiere comprobar los otros posibles mensajes de correo a través de los
cuales se propaga Mapson.D, pulse aquí.

2.- Propagación a través de los programas de intercambio de ficheros punto a
punto.

Mapson.D realiza el siguiente proceso:

Crea copias de sí mismo en los directorios compartidos de los programas
KaZaA, KaZaA Lite, eDonkey2000, Gnucleus, Limewire, Morpheus, Grokster e
ICQ.
Concretamente, se copia en los siguientes directorios:
%ProgramFilesDir%\KaZaA\My Shared Folder\
%ProgramFilesDir%\edonkey2000\incoming\
%ProgramFilesDir%\gnucleus\downloads\
%ProgramFilesDir%\icq\shared files\
%ProgramFilesDir%\kazaa lite\my shared folders\
%ProgramFilesDir%\limewire\shared\
%ProgramFilesDir%\morpheus\my shared folder\
%ProgramFilesDir%\Grokster\My Grokster\
%ProgramFilesDir%\WinMX\My Shared Folder\
%ProgramFilesDir%\Tesla\Files\
%ProgramFilesDir%\Overnet\Incoming\
%ProgramFilesDir%\XoloX\Downloads\
%ProgramFilesDir%\ Rapigator\Share\
%ProgramFilesDir%\KMD\My Shared Folder\
Si quiere comprobar la lista de ficheros que crea en estos directorios,
pulse aquí.
Otros usuarios de estos programas podrán acceder de manera remota a estos
directorios compartidos. Así, se descargarán voluntariamente en su ordenador
alguno de los ficheros creados por Mapson.D, pensando que se trata de
aplicaciones informáticas interesantes, imágenes, etc. En realidad, se
estarán descargando en sus ordenadores una copia del gusano.
Al ejecutar el fichero descargado, esos otros ordenadores quedarán afectados
por Mapson.D.

3.- Propagación a través de redes.

Mapson.D realiza el siguiente proceso:

Intenta copiarse al resto de ordenadores de la red en los siguientes
directorios:
\Documents and Settings\ All Users\ Start Menu\ Programs\ Startup\
\WINDOWS\ Start Menu\ Programs\ Startup\
\WINDOWS\ Menú inicio\ Programas\ Inicio\
\WINNT\ Profiles\ All Users\ Start Menu\ Programs\ Startup\
De esta manera, el gusano consigue activarse cada vez que se inicie Windows
en el ordenador de red afectado.

4.- Propagación a través de IRC.

La infección a través del chat IRC sigue este patrón:

Mapson.D sólo utiliza este medio si está instalado el programa mIRC.
Cuando el usuario infectado se conecta a un canal del chat IRC, Mapson.D
envía una copia de sí mismo a todas las personas conectadas a dicho canal en
ese momento.

Otros Detalles

Para que conozca un poco mejor a Mapson.D, aquí le presentamos alguna de sus
características:

Ha sido escrito en el lenguaje de programación Delphi, en su versión 6. El
fichero que realiza la infección tiene un tamaño de 446976 Bytes, que pasa a
ser de 183808 Bytes cuando es comprimido con UPX en su versión 1.24.
Está compuesto por un formulario Tform1 que consta de los eventos
FormCreate, InfectP2P, Network, asesinando, Infectmirc y Reporting, que se
encargan de realizar las acciones del gusano.
Para enviarse por correo utiliza el componente TNMSMTP de la librería
comercial FastNet.
Crea un fichero de texto llamado -.TXT en el directorio raíz con el
siguiente contenido:

Thx to All my VX Friends, specially SlageHammer, VirusBstr, Positron
VB : Thx for the GhostApp Component :D,
Slage : Thx for the 5 msgs to my worm :D and ur counsels
Positron: to ur SMTP engine 0.9, i study and learn sockets :D
Thx to All
Mabel i love u :P


¿Cómo eliminar a Mapson.D?

Después, si durante el proceso de análisis, Panda antivirus o Panda
ActiveScan detecta a Mapson.D, el antivirus le dará automáticamente la
opción de eliminarlo: hágalo, siguiendo las instrucciones del programa.

Finalmente, para restaurar la configuración original de su ordenador, siga
estas instrucciones:

Borre la entrada que Mapson.D ha creado en el Registro de Windows:

HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run NAV "%sysdir%RuxDLL32.exe"

Reinicie el ordenador.

Preguntas similares