Main Menu
Home
Bookmark
Contact Us



 
I-Worm.Mapson. Viruses Information

Name: I-Worm.Mapson.
Category: Viruses
Description: Details
I-Worm.Mapson.a
The Mapson Internet worm spreads via the Internet attached to infected emails and through file sharing networks and folders.
The worm itself is a Windows PE EXE file about 180K in size when compressed by UPX, the decompressed size is about 440K). It is written in Borland Delphi 6.0.
Installing
While installing the worm copies itself to the Windows system directory using the name Lorraine.exe. It them registers this file in the system registry auto-run key:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Lorraine = %SystemDir%Lorraine.exe

The Mapson worm also copies itself to C: root directory under the name Lorraine_vxd and to the Windows system directory using the following names:
amigos.pif
amigototote.pif
amor-por-ti.pif
antiwinlogon.pif
antrox.scr
BigBrother.pif
bugmsn.pif
chistesgraficos.pif
chupamelo.pif
comotegustan.pif
CracksPPZ.pif
cristina-aguilera.pif
defaced-madonna-site.pif
eggbrother.exe
EICAX.COM
existeee.pif
financiamiento.pif
GEDZAC.PIF
grancarnal.exe
grande.pif
hackeahotmail.pif
historial.pif
hotmail.pif
kamasutra.pif
lacosha@hotmail.com
LatinCard.pif
linuxandmicrosoft.pif
Lorenaaaa.pif
Madonna_sEXY.pif
MariaVirgen.pif
Matrix-Trailer.pif
mujeres.pif
Mňsica.pif
No-Spam.exe
nuevovirus.txt .pif
Oradores.pif
osamabinhuevoback.exe
parejaideal.txt.pif
petardas.pif
porqueteamo.pif
projimo.pif
relacionsexual.pif
resetarios.pif
SARS.pif
seguridad_en_hotmail.pif
serhacker.pif
Shakira.pif
solo-a-ti.pif
Spamno.pif
te-pido.scr
teamo.exe
test-idiota.pif
testpasion.pif
thalialoca.pif
TutorialVBSvirus.pif
WindowsMediaPlayerBug.pif
www.mfernanda.com
www.vsantiviru.com
www.zonaviru.com
zorrotttas.pif

Spreading: Email
To send infected messages the worm uses a built-in SMTP engine. The worm gets victim email addresses from the MSN Messenger contact list (up to 2000 emails).
The infected messages have a plain text format and the worm activates from infected email only when (if) a user clicks on the infected file attachment.
The infected messages have various fields: "From", "Subject", message body and the attached file name.
Below "real email" means that the worm uses a fake email address in the "From" field, this email address is randomly selected from emails found on affected machines; While "empty" means the field is empty.
The data in the email message fields are randomly selected from 60 variants depending on current time (specifically the seconds).
Variant 1:
From: bigbrother@bigbrother.tv
Subject: Big Brother te espera
Attach: BigBrother.pif
Body:
Felicidades! le hemos enviado este E-Mail porque usted ha ganado un pasaje a M xico al programa
Reality show BigBrother,si usted quiere participar en este programa deber¬ abrir el archivo adjunto.

Variant 2:
From: support@hotmail.com
Subject: hotmail.pif
Attach: Su cuenta de hotmail sera eliminada
Body:
Estimado usuario de hotmail,debido al trafico en el servidor y a las fallas que se han venido
presentando en este presente mes,hemos de informarle que su cuenta ser¬ removida de nuestra base
de datos en menos de 24 horas, le rogamos por favor lea el adjunto con los pasos para evitar que
esto suceda. Atentamente el Equipo tecnico de Hotmail.


Variant 3:
From: support@passport.com
Subject: 10 reglas de seguridad para su cuenta de hotmail
Attach: seguridad_en_hotmail.pif
Body:
Amable Usuario de hotmail, la raz’n de este mail es para darle a conocer las 10 reglas de
seguridad que un usuario de passport debe tener en cuenta para evitar que su cuenta sea borrada,
hackeada etcalllas reglas est¬n en el adjunto.Atentamente equipo tecnico de passport

Variant 4:
From: hacker@hotmail.com
Subject: ?Puedo ser hacker en 24 horas?
Attach: serhacker.pif
Body:
No. La respuesta es un no rotundo. Ni en 24 ni en 48 horas :) Pero en este tiempo ső puedes
tener una idea aproximada y muy b¬sica de lo que es y de lo que 'no es' un hacker y decidir si
quieres convertirte en uno de ellos. Te recomiendo que leas el archivo que te mando, esta en
espa”ol y es muy interesante acerca de estos temas (hacking,cracking,vulnerabilidades).

Variant 5:
From: "real email"
Subject: Problema de seguridad en Windows Media Player
Attach: WindowsMediaPlayerBug.pif
Body:
Windows Media Player, el reproductor multimedia que acompa”a gratuitamente a los sistemas
Microsoft, se ve afectado por un problema de seguridad que puede permitir la ejecuci’n de
c’digo en la m¬quina del usuario atacado.por lo que recomendamos leer m¬s acerca de este bug en
el adjunto y aplicar los correspondientes parches de seguridad.

Variant 6:
From: "real email"
Subject: ?C’mo hackear hotmail?
Attach: hackeahotmail.pif
Body:
Hola, he estado buscando en la red y encontr  esta guőa de hacking que ense”a como hackear
hotmail,orienta al robo de cuentas, imagőnate robarle la cuenta a tu novia, tu amigo etc.. a
quien quieras, te lo aseguro yo ya lo leő y lo comprob , disfrŖtalo.

Variant 7:
From: notice@madonna.com
Subject: Hackean p¬gina de Madonna sospechosa de envenenar KaZaA
Attach: defaced-madonna-site.pif
Body:
Tras sospecharse que Madonna contamin’ la red KaZaA con algunos archivos envenenados, un grupo
hacker ha contraatacado asaltando su p¬gina y colgando algunos de los temas de su Ŗltimo ¬lbum
en formato MP3.m¬s de esta revelante noticia en el adjunto.

Variant 8:
From: "real email"
Subject: ?Que le atrae a las mujeres?
Attach: mujeres.pif
Body:
Un reciente estudio del comportamiento en la mujer afirma que a ellas les atrae de los
hombreses la cara, las manos y su movimiento, si quiere saber m¬s lea por favor el articulo que
le adjuntamos

Variant 9:
From: Anti-Spam@campa”a.com
Subject: SPAM La proxima gran epidemia
Attach: No-Spam.exe
Body:
El Spam esta avanzando constantemente y a logrado saturar nuestros correos electronicostal vez
sea el principio de una epidemia mundial de esta peste que nos tiene cansados de la
publicidad.

Variant 10:
From: test@hispasec.com
Subject: Tests antivirus para comprobar la protecci’n del e-mail
Attach: EICAX.COM
Body:
Hispasec pone a disposici’n de todos los usuarios dos tests para comprobar el correcto
funcionamiento de la protecci’n antivirus del correo electr’nico. El primero de ellos nos
indicar¬ la correcta instalaci’n y buen funcionamiento del antivirus, mientras que el segundo
determinar¬ la capacidad de detecci’n proactiva para identificar gusanos que explotan
vulnerabilidades conocidas.

Variant 11:
From: Amor@teamo.com
Subject: Te amo
Attach: teamo.exe
Body: Lo amo a usted por que es la persona m¬s linda del mundo.

Variant 12:
From: Latincards@latincards.com
Subject: LatinCards
Attach: LatinCard.pif
Body: Le han enviado una LatinCard para poder visualizarla abra el adjuntoGracias.

Variant 13:
From: "real email"
Subject: Chistes Gr¬ficos
Attach: chistesgraficos.pif
Body: Estos son los chistes gr¬ficos que m¬s me han gustado espero que a ti tambi n.

Variant 14:
From: lorena@hotmail.com
Subject: Te Amo
Attach: porqueteamo.pif
Body: Averigua por que.....

Variant 15:
From: "real email"
Subject: Test de pasi’n
Attach: testpasion.pif
Body: Test de pasi’n para usted y su pareja, cont stelo y descubra cuanto desea y quiere a su pareja.

Variant 16:
From: Maria_fernanda@mfernanda.com
Subject: Re: Dime que te parece
Attach: www.mfernanda.com
Body:
Hola, como est¬s? hace tiempo que no se nada de ti... querőa hablar contigo sobre un tema.Se
trata de mi nuevo portal en el que quiero ofrecer toda mi recopilaci’n de links en espanol. Me
gustarőa que le echaras un vistazo y me dijeras que tal lo ves tu, si te gusta o cambiarőas

algo.

Variant 17:
From: "real email"
Subject: RE: Test de idiotes
Attach: test-idiota.pif
Body: Compruebe si usted es un verdadero idiota.

Variant 18:
From: "real email"
Subject: Kamasutra
Attach: kamasutra.pif
Body: Kamasutra el arte del sexo

Variant 19:
From: "real email"
Subject: Su pareja ideal
Attach: parejaideal.txt.pif
Body:
Los 10 consejos para tener una pareja ideal,L alos y p’ngalos en practica, le aseguro que
tendr¬ resultadossatisfactorios.

Variant 20:
From: "real email"
Subject: Amor Real...
Attach: existeee.pif
Body: en verdad existe?

Variant 21:
From: support@passport.com
Subject: Vulnerabilidad Critica en el Msn Messenger
Attach: bugmsn.pif
Body:
Una vulnerabilidad critica detectada en el msn messenger podrőa provocar el robo de su cuenta
de correoes importante que lea mas de esta vulnerabilidad para poderse proteger de ella.

Variant 22:
From: "real email"
Subject: ?C’mo puedo crear un virus?
Attach: TutorialVBSvirus.pif
Body:
Esta pregunta siempre me la han hecho y creo que la voy a responder. Para crear un virus no
necesitas saber mucho de computaci’n, con solo conocer Un poco del lenguaje de programaci’n
basta, por que no empiezas con el Visual Basic Script, te adjunto un tutorial muy completo
acerca de este lenguaje y la creaci’n de virusQue te diviertas.Bye.

Variant 23:
From: Webmaster@vsantiviru.com
Subject: Informate de los virus
Attach: www.vsantiviru.com
Body:
Hola, soy el webmaster de VSANTIVIRUS, estamos realizando una camapa”a Contra los virus
informaticos y nuestro deber es informarle a los usuarios como usted Que es un virus, las
acciones que causan y como desinfectarse.Si usted desea acceder a toda esta informaci’n haga el
favor de hacer clic en el link que le adjuntamos.Gracias

Variant 24:
From: Webmaster@zonaviru.com
Subject: Zona Virus.com tu Zona Antivirica en espa”ol
Attach: www.zonaviru.com
Body:
Hola, soy el webmaster de zonaviru y quiero invitarlo a visitar mi sitio web, usted podr¬
informarse sobre los Ŗltimos virus aparecidos, tambi n sabr¬ como se crean estas alima”as
inform¬ticas,quienes los crean, como desinfectarse etc... mucha mucha m¬s informaci’n.Cuento
con su visita Gracias Atentamente el Webmaster de ZonaVirus

Variant 25:
From: "real email"
Subject: Virus en Hotmail
Attach: nuevovirus.txt .pif
Body:
Hola, se a dado una alerta por parte de las empresas antivirus, de un nuevo virus que se expande
por hotmail, hasta el momento indetectable para cualquier producto antiviral, por lo que
recomiendo leer las precauciones sobre este nuevo gusano informatico. Para m¬s informaci’n, favor
de leer el documento informativo.

Variant 26:
From: cristina_aguilera@cristina-aguilera.com
Subject: Cristina Aguilera Puta de medio tiempo o mentira?
Attach: cristina-aguilera.pif
Body: es la mera neta.

Variant 27:
From: "real email"
Subject: EGG Brother
Attach: eggbrother.exe
Body: LA ultima escena de egg brother vivela ya.

Variant 28:
From: "real email"
Subject: Osama Bin Huevo regresa
Attach: osamabinhuevoback.exe
Body: Osama bin huevo regresa con una nueva amenaza a los Huevos Unidos de Am rica

Variant 29:
From: "real email"
Subject: El Gran Carnal
Attach: grancarnal.exe
Body: Mirate que asterisco se tiro encima de do”a pepa jeje


Variant 30:
From: "real email"
Subject: A Dios le pido....
Attach: te-pido.scr
Body: Que si me muero sea de amor y si me enamoro sea de vos....

Variant 31:
From: "real email"
Subject: Antro
Attach: antrox.scr
Body: Hey sin so sobre tras ya no digas m¬s y despierta la locura!!!

Variant 32:
From: "real email"
Subject: Chupamelo
Attach: chupamelo.pif
Body: Chupamelo ya... y dime que te parece.

Variant 33:
From: "real email"
Subject: Ta grande
Attach: grande.pif
Body: Lo tengo grande y tŖ?

Variant 34:
From: "real email"
Subject: Tengo Sed...
Attach: amor-por-ti.pif
Body: Tengo sed de amor por tő.

Variant 35:
From: "real email"
Subject: para usted
Attach: historial.pif
Body: Si te llego mal, respondeme


Variant 36:
From: "real email"
Subject: "empty"
Attach: petardas.pif
Body: Si el adjunto no funciona respondame lo m¬s antes posible

Variant 37:
From: "real email"
Subject: Alerta de virus
Attach: antiwinlogon.pif
Body:
Cuidado! este virus es peligroso puede formatearte el disco duro, llega por hotmail sin que te
des cuenta, tu podrias estar infectado busca en tu sistema el archivo winlogon.exe, si lo
tienes es mejor que utilizes la vacuna que te mando, hazlo cuanto antes!! no esperes!!

Variant 38:
From: "real email"
Subject: Necesita comprar un auto?
Attach: financiamiento.pif
Body: Lo mejores planes de financiamiento.

Variant 39:
From: "real email"
Subject: Zorras y m¬s zorras
Attach: zorrotttas.pif
Body: Zorritas gratis dandole duro.

Variant 40:
From: "real email"
Subject: Matrix Trailer
Attach: Matrix-Trailer.pif
Body: Chequelo de una vez!! no se lo pierda.

Variant 41:
From: "real email"
Subject: ?Sabe que es GEDZAC?
Attach: GEDZAC.PIF
Body: Por si no sabe que es. una explicaci’n muy precisa para usted.

Variant 42:
From: "real email"
Subject: Como te gustan?
Attach: comotegustan.pif
Body: A mi me gustan, altas, bonitas, tetonas, nalgonas y tiernitas pero a ti como te gustan?

Variant 43:
From: "real email"
Subject: ??
Attach: Oradores.pif
Body: Hola necesito tu ayuda con este archivo Gracias

Variant 44:
From: "real email"
Subject: Lo que nos ense”a la iglesia
Attach: projimo.pif
Body: La Iglesia nos ense”a a amar, querer al pr’jimo pero usted deber¬s lo ama?

Variant 45:
From: "real email"
Subject: para tő
Attach: Lorenaaaa.pif
Body: Si el adjunto esta defectuoso reenviamelo.

Variant 46:
From: "real email"
Subject: Informaci’n sobre Sars
Attach: SARS.pif
Body: AyŖdenos a contrarrestar el SARS, por favor aprenda como se contagia y sus efectos.

Variant 47:
From: "real email"
Subject: Para mis amigos
Attach: amigos.pif
Body: De un amigo para un amigo.

Variant 48:
From: "real email"
Subject: Eres un perdedor
Attach: Madonna_sEXY.pif
Body: Eres un perdedor no te atreves ni a mirar la foto que te doy.

Variant 49:
From: "real email"
Subject: Spam..
Attach: Spamno.pif
Body: Di no al SPAM.

Variant 50:
From: "real email"
Subject: Para mis verdaderos amigos
Attach: amigototote.pif
Body: Te lo mereces, eres un verdadero amigo

Variant 51:
From: "real email"
Subject: Para ti nomas
Attach: solo-a-ti.pif
Body: Para ti y nadie m¬s

Variant 52:
From: "real email"
Subject: Necesito su ayuda
Attach: resetarios.pif
Body: Tengo problemas con este archivo, seria tan amable de revisarlo por mi?

Variant 53:
From: "real email"
Subject: Sexo y m¬s
Attach: relacionsexual.pif
Body: 10 formas para disfrutar de sus relaciones sexuales

Variant 54:
From: "real email"
Subject: Linux se vende a Microsoft!
Attach: linuxandmicrosoft.pif
Body: Al parecer Linux murio y se vendio a microsoft

Variant 55:
From: "real email"
Subject: Recuerda!
Attach: lacosha@hotmail.com
Body: Espero que siempre me escribas.

Variant 56:
From: "real email"
Subject: Esta si que es puta!
Attach: Shakira.pif
Body: NO hables m¬s y dime si es puta

Variant 57:
From: "real email"
Subject: Tu Soft
Attach: CracksPPZ.pif
Body: Aquő estan los cracks para los programas que pediste

Variant 58:
From: "real email"
Subject: La Virgen Marőa no es virgen
Attach: MariaVirgen.pif
Body: No me crees? velo tu mismo

Variant 59:
From: "real email"
Subject: MŖsica Digital Gratis
Attach: MŖsica.pif
Body: B¬jate todas las canciones que quieras.

Variant 60:
From: "real email"
Subject: te gusta?
Attach: thalialoca.pif
Body: espero que te guste, si no es asi dimelo.

There are also three additional infected email variants but they are not used because of a bug in the worm code. They are:

Subject: Mamalo
Attach: mamalo.pif
Body: Mamalo que ta grande.....

Subject: La mejor forma de cortar a un chico
Attach: sindolor.pif
Body: Las 10 mejores formas para hacer esto menos doloroso.

Subject: Amistad
Attach: friends.pif
Body: Usted es uno de mis mejores amigos.

Spreading: P2P
The worm copies itself to the following P2P file sharing network and to the following shared files directories:

KaZaAMy Shared Folder edonkey2000incoming gnucleusdownloads icqshared files kazaa litemy shared folders limewireshared morpheusmy shared folder GroksterMy Grokster
Worm copies have the names that are built using the following combinations:
"Sexy Bikini" + "Galilea Montijo" + ".gif .exe"
"Sexo en la playa con" "Shakira"
"las pelotas de" "Britney Spears"
"Desnuda en la playa" "Lorena"
"Nude Pic" "Halle berry"
"Sexy Beach" "Cameron dias"
"Pink"
"Thalia"
"Paulina Rubio"
"Francini"
"Brenda"
"Celine Dion"
"Kylie Minogue"
"Laura Pausini"
"Lili Brillanti"
"Angelica Vale"
"Alejandra Guzman"


"Kazaa Media Desktop" + " Cracked.exe"
"ICQ Lite" " crack all versions.exe"
"WinZip" " .exe"
"iMesh" " KeyGen.exe"
"AOL Instant Messenger (AIM)" " Fullversion.exe"
"ICQ Pro 2003a beta"
"Morpheus"
"Ad-aware"
"Trillian"
"Download Accelerator Plus"
"ZoneAlarm"
"Grokster"
"WinRAR"
"DivX Video Bundle"
"RealOne Free Player"
"NetPumper"
"Adobe Acrobat Reader (32-bit)"
"JetAudio Basic"
"WS_FTP LE (32-bit)"
"SnagIt"
"Registry Mechanic"
"WinMX"
"MSN Messenger (Windows NT/2000)"
"Biromsoft WebCam"
"Nero Burning ROM"
"Microsoft Windows Media Player"
"Spybot - Search & Destroy"
"Copernic Agent"
"Winamp"
"Diet Kaza"
"SolSuite 2003: Solitaire Card Games Suite"
"Pop-Up Stopper"
"QuickTime"
"XoloX Ultra"
"Microsoft Internet Explorer"
"Network Cable e ADSL Speed"
"Kazaa Download Accelerator"
"Global DiVX Player"
"DirectDVD"
"Kaspersky Antivirus"
"PerAntivirus"
"Norton Antivirus"
"Panda Antivirus"
"McAfee Antivirus"
"Microsoft Office XP"
"Microsoft Windows 2003"
"Office 2003"
"Visual Studio Net"
"Delphi 6"
"msn hack"
"Matrix Movie"
"Virtual Girl Sofőa"

"FireWorks 4"
"FIreWorks MX"


Examples following this system:
"Sexy Bikini Galilea Montijo.gif .exe"
"Sexy Bikini Shakira.gif .exe"

etc.
File sharing network examples:
"Kazaa Media Desktop Cracked.exe"
"Kazaa Media Desktop crack all versions.exe"

etc.
Payload
When infected messages are sent out the worm plays the standard system start sound.
The Mapson worm then creates the C:lorraine.hta file, writes an HTML message to this file and on 4th of each month opens it:

In July, each day the worm displays the messages:




Top Viruses Visited Pages:
Baboo - 668 visits
Invader. - 531 visits
Firstling.199 - 258 visits
Macro.Excel.Hidemo - 239 visits
not-a-virus:RemoteAdmin.Win32.RAdmin.2 - 231 visits
Spartak.110 - 230 visits
Worm.P2P.Harex. - 220 visits
Coito.64 - 219 visits
Small.58. - 209 visits
DDoS.Win32.Kozo - 191 visits

Random Viruses Pages:
Macro.Word.Goldse
Press.102
Nexiv_Der.388
WinNT.Infis.460
Trojan-Downloader.Win32.Bagle.
Hary.98
Tranquilo.56
I-Worm.Merku
SkyNet.144
Nuker.Trance.168


 


© 2006-2008 spyware32.com - Privacy Policy