• Herramienta para quitar el W32/Mapson.C de un sistema infectado

Nueva versión del W32/Mapson (la C), con algunas diferencias a las anteriores. Esta vez no es solo una variante recomprimida como en el caso de la B con respecto a la A.

Su código, como las versiones anteriores, está programado en Borland Delphi 6, y comprimido con la utilidad UPX.

También se propaga por medio de mensajes con asuntos, textos, y archivos adjuntos de nombres variables, y con extensiones .COM, .EXE, .SCR o .PIF, a toda la lista de contactos del MSN Messenger. Además, intenta propagarse por las siguientes redes de intercambio de archivos P2P:

eDonkey2000
Gnucleus
Grokster
ICQ
KaZaA
KaZaA Lite
Limewire
Morpheus

Posee una rutina destructiva que intenta finalizar los procesos de conocidos productos antivirus, cortafuegos, y otros relacionados con la seguridad, dejando a la computadora infectada vulnerable al ataque de otros códigos virales.

Puede enviarse a las casillas de cTmail, un servicio de envío de correo basado en la web (principalmente de Hotmail), y utiliza su propio motor SMTP para propagarse a través del correo electrónico.

Uno de los mensajes del gusano, simula ser enviado por Nod32. En este caso también se menciona el nombre de una herramienta de limpieza, proporcionada por el distribuidor italiano del producto, y disponible para la descarga en las páginas de VSAntivirus que contienen la descripción de las versiones A y B del Mapson.

Si recibe ese archivo, o cualquier otro en un mensaje adjunto que no haya solicitado, sin importar quien los envía, jamás deberá aceptarlo. Por otra parte, jamás recibirá adjuntos no solicitados de ningún fabricante de antivirus o sitio de Internet dedicado a la seguridad.

Dicha herramienta está limpia y es segura, siempre que usted mismo la descargue del enlace proporcionado en nuestras páginas. Jamás acepte ninguna clase de herramienta enviada vía correo electrónico, aunque sea de un amigo que intente ayudarlo. Agradézcale a ese amigo la intención, pero siempre pídale el enlace al sitio original, y asegúrese de que ese sitio sea confiable (como VSAntivirus, por ejemplo).

Estos son algunos ejemplos de estos mensajes. El remitente siempre es una dirección falsa:

Ejemplo 1:

De: antivirus@nod32.com
Asunto: Alerta por Virus W32/Mapson
Datos adjuntos: NSPCLEAN.exe 

Texto del mensaje:
En los últimos días se ha ido detectando un nuevo
virus llamado Mapson, ya se han detectado varios
infectados de este gusano, si usted se encuentra
infectado podrá remover este gusano con esta
herramienta gratuita que le hemos enviado, una
vacuna que hemos diseñado especialmente para
usuarios de hotmail, si usted esta de acuerdo
haga clic en el adjunto para empezar el scaneo y
eliminar este despreciable gusano de su maquina.
Gracias.

Ejemplo 2:

De: [variable]
Asunto: Re:Reenviamelo de nuevo
Datos adjuntos: bromas.scr

Texto del mensaje:
Si te gusto reenviamelo.

Ejemplo 3:

De: [variable]
Asunto: Re:Quitan cuentas de hotmail.
Datos adjuntos: pasos.pif

Texto del mensaje:
Al parecer hotmail ya esta muy saturado de
usuarios y amenazan con quitar cuentas, pero se
puede evitar siguiendo unos pasos, léelos y no
tendrás problemas, chau

Ejemplo 4:

De: [variable]
Asunto: Problema de seguridad en Internet Explorer
Datos adjuntos: IEXPLORERSTACK.pif

Texto del mensaje:
Un problema de seguridad a sido detectado en
Internet Explorer se recomienda aplicar los
correspondientes parches ya que esta vulnerabilidad
puede permitir la ejecución arbitraria de código en
la maquina afectada, para saber mas acerca de esta
vulnerabilidad favor de leer el documento y así
prevenir el ataque de un virus informativo

Ejemplo 5:

De: [variable]
Asunto: Re: LTelo y reenvfalo a quienes mas amas.
Datos adjuntos: amor_real.pif

Texto del mensaje:
Si el documento expone lo que sientes hacia otra
persona, reenvíalo a tus amigos y un sueño se hará
realidad.

Ejemplo 6:

De: [variable]
Asunto: Si no te late....
Datos adjuntos: fotokosmiko.scr

Texto del mensaje:
Si no te late, devuTlvemelo

Ejemplo 7:

De: [variable]
Asunto: Lista de Hoaxes
Datos adjuntos: hoax-list.com

Texto del mensaje:
Te envío una lista de hoaxes, virus falsos, para
que estés prevenido y no hagas caso a las mentiras,
chau cuídate

Ejemplo 8:

De: [variable]
Asunto: Para mis amigos
Datos adjuntos: OsamaBinLadenJokes.scr

Texto del mensaje:
Los mejores chistes que tengo, disfrutenlos

Otros asuntos que el gusano puede utilizar:

"If it does not bark to you, return it to me

10 consejos para terminar su noviazgo

Alerta por Virus W32/Mapson

Documents

Espero que te guste

For my friends

Fwd:read it an resubmit it to the people that you
more love

Herramienta gratuita para eliminar el Mapson

Hoax List

I hope that you like

I love you

In the last days has gone detecting a new called
virus Mapson, already they have been detected
various

Lea el adjunto y enterese

Lista de Hoaxes

Para mis amigos

Photookosmike.scr

Por que es mi amigo.

por que lo vales.

Por que su amistad es lo mas importante.

problem of security in Internet Explorer

Problema de seguridad en Internet Explorer

Re: Dime que te parece

Re:Quitan cuentas de hotmail

Re:Reenviamelo de nuevo

Read with attention

So that he is my friend

so that it bonds

So that its friendship is but the important thing.

Te amo

tell me that it seems

ten counsels to finish with its boyfriend

the msn 6 violates our privacy

the ten steps for.....

They remove accounts of hotmail

Warning by Virus W32/Mapson

Lista de posibles adjuntos:

amigos-por-siempre.exe
amor_real.pif
amor-eterno.pif
analysis_mzn6.pif
animation-simpsons.scr
Anti-Worm.exe
bromas.scr
Cards.exe
Cards_love.pif
carta_de_amor.exe
consejos-noviazgo.exe
counsels.pif
documents.scr
fotokosmiko.scr
friends.pif
hoax-list.com
IEXPLORER_STACK.pif
IEXPLORERSTACK.pif
Ivalue-much.pif
jokess.scr
loValoroMucho.scr
love-forever.pif
my_best_friend.pif
NSPCLEAN.exe
OsamaBinLadenJokes.scr
pasos.pif
Photookosmike.scr
porque-lo-quiero.pif
real_love.scr
realidades.pif
reality_dreams.pif
sexual_steps.pif
steps.pif

Los remitentes, además de los indicados, y de otras direcciones extraídas de la máquina infectada, pueden ser algunos de la siguiente lista:

Amor@teamo.com
Anti-Spam@campaña.com
antivirus@nod32.com
bigbrother@bigbrother.tv
cristina_aguilera@cristina-aguilera.com
hacker@hotmail.com
lacosha@hotmail.com
Latincards@latincards.com
lorena@hotmail.com
Maria_fernanda@mfernanda.com
notice@madonna.com
support@hotmail.com
support@passport.com
test@hispasec.com
Webmaster@vsantiviru.com
Webmaster@zonaviru.com

Si se ejecuta el archivo adjunto, o un archivo infectado, el gusano se copia a si mismo en las siguientes ubicaciones y con los siguientes nombres:

c:\Mark.vxd
c:\windows\system\analysis_mzn6.pif
c:\windows\system\animation-simpsons.scr
c:\windows\system\Cards_love.pif
c:\windows\system\counsels.pif
c:\windows\system\documents.scr
c:\windows\system\friends.pif
c:\windows\system\hoax-list.com
c:\windows\system\IEXPLORER_STACK.pif
c:\windows\system\Ivalue-much.pif
c:\windows\system\jokess.scr
c:\windows\system\Lorena.exe
c:\windows\system\love-forever.pif
c:\windows\system\my_best_friend.pif
c:\windows\system\NSPCLEAN.exe
c:\windows\system\OsamaBinLadenJokes.scr
c:\windows\system\Photookosmike.scr
c:\windows\system\real_love.scr
c:\windows\system\reality_dreams.pif
c:\windows\system\sexual_steps.pif
c:\windows\system\steps.pif

NOTA: "C:\Windows\System" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP y Windows Server 2003).

Modifica el registro para ejecutarse con cada inicio:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
LOAD32 = c:\windows\system\Lorena.exe

El gusano finaliza además, cualquiera de los siguientes procesos que esté activo en memoria, todos pertenecientes a conocidos antivirus y cortafuegos:

_AVP32.exe
_AVPCC.exe
_AVPM.exe
ADVXDWIN.exe
AGENTW.EXE
ALERTSVC.exe
ALOGSERV.exe
AMON9X.exe
ANTI-TROJAN.exe
ANTS.exe
APVXDWIN.exe
ATCON.exe
ATUPDATER.exe
ATWATCH.exe
AUTODOWN.exe
AVCONSOL.exe
AVCONSOL.EXE
AVGCC32.exe
AVGCTRL.exe
AVGSERV.exe
AVGSERV9.exe
AVGW.exe
AVKPOP.exe
AVKSERV.exe
AVKSERVICE.exe
AVKWCTL9
AVP32.exe
AVPCC.exe
AVPM.exe
AVPM.EXE
AVSCHED32.exe
AVSYNMGR.exe
AVWINNT.EXE
AVXMONITOR9X.exe
AVXMONITORNT.exe
AVXQUAR.exe
AVXQUAR.EXE
AVXW.exe
BLACKD.exe
BLACKICE.exe
CCAPP.EXE
CCEVTMGR.EXE
CCPXYSVC.EXE
ETRUSTCIPE.EXE
EVPN.EXE
EXPERT.exe
F-AGNT95.exe
FAMEH32.exe
F-PROT.exe
F-PROT95.exe
FP-WIN.exe
FRW ERV.exe
ICLOAD95.EXE
ICLOADNT.EXE
ICMON.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
IFACE.EXE
IOMON98.exe
msconfig.EXE
NAV AUTO-PROTECT.exe
NAVAP.EXE
NAVAPSVC.EXE
Navapw32.exe
NAVENG
NAVEX15.EXE
NAVLU32.EXE
NAVW32.EXE
NAVWNT.EXE
NDD32.EXE
NPSSVC.EXE
NSCHED32.EXE
NSPCLEAN.exe
PAV.EXE
PCCIOMON.EXE
PCCNTMON.EXE
PCCWIN97.EXE
PCCWIN98.EXE
PCSCAN.EXE
PERSFW.EXE
PERSWF.EXE
POP3TRAP.EXE
RAV7.EXE
Regedit.com
Regedit.EXE
regedt32.EXE
sfc.EXE
sysedit.EXE
taskmgr.exe
VPC32.EXE
VPTRAY.EXE
VSCHED.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSMAIN.EXE
VSMON.EXE
VSSTAT.EXE
ZONEALARM.EXE

El gusano intenta propagarse por las siguientes aplicaciones de intercambio de archivos:

eDonkey2000
Gnucleus
Grokster
ICQ
KaZaA
KaZaA Lite
Limewire
Morpheus

Para ello, busca los siguientes directorios, bajo C:\Program Files\ o C:\Archivos de programa\:

\KaZaA\My shared Folder
\KaZaA Lite\my shared folders
\edonkey2000\incoming
\Gnucleus\downloads
\ICQ\shared files
\Limewire\shared
\Morpheus\my shared folder
\Grokster\My Grokster

Y se copia allí con diferentes nombres, por ejemplo:

Ad-aware .exe
AOL Instant Messenger (AIM).exe
Avril Lavigne Fucked Bitch.exe
Biromsoft WebCam .exe
Copernic Agent .exe
Delphi 6 Serial.exe
Diet Kaza .exe
DirectDVD .exe
Download Accelerator Plus.exe
Global DiVX Player .exe
Grokster.exe
ICQ Lite .exe
ICQ Pro 2003a beta .exe
iMesh .exe
Kaspersky Antivirus Crack.exe
Kazaa 2.05 beta .exe
Kazaa Download Accelerator .exe
Kazaa Media Desktop .exe
Mcafee Serial.exe
Microsoft Internet Explorer .exe
Microsoft Office XP Serial.exe
Microsoft Windows 2003 Serial.txt .exe
Microsoft Windows Media Player .exe
Morpheus .exe
Msn Hack.exe
Nero Burning ROM .exe
Network Cable e ADSL Speed .exe
NOD32 Antivirus Crack.exe
Norton Antivirus Crack.exe
Office 2003 Serial.exe
PerAntivirus Crack.exe
Pop-Up Stopper .exe
QuickTime .exe
Registry Mechanic.exe
Shakira Sucks.jpg.exe
SnagIt .exe
Sofía Vergara Sexy Bikini.exe
Spybot - Search & Destroy .exe
StarCraft No CD Crack.exe
Trillian .exe
Visual Studio Net Serial.exe
Winamp.exe
WinMX .exe
WinZip.exe
WS_FTP LE (32-bit) .exe
XoloX Ultra .exe
ZoneAlarm Full Version.exe

Cualquiera de estos archivos que sea descargado por un usuario de estas redes y luego ejecutado, infectará su equipo.

Finalmente se envía a toda la lista de contactos del MSN Messenger, en mensajes como los ya descriptos.

De acuerdo a ciertas fechas, el gusano realiza otras acciones:

Si el día es 4 de cualquier mes, entonces el gusano crea el siguiente archivo:

C:\lorraine.c.hta

También descarga un archivo en formato .HTML del sitio http://www.gratisweb.com.

Durante el mes de octubre, el gusano mostrará ventanas con textos como los siguientes:

W32/Lorraine.c [GEDZAC LABS 2003]
Bi0C0ded by Falckon/GEDZA
[   OK   ]

W32/Lorraine.c [GEDZAC LABS 2003]
Lorraine ReC0deD and Reloaded :P
[   OK   ]

Herramienta para quitar el W32/Mapson.C de un sistema infectado

Nod32
Descargue la utilidad "Mspclean.zip" (298 Kb), descomprímala y ejecútela en su sistema: http://www.nod32.it/cgi-bin/mapdl.pl?tool=MapsonC
Copyright (c) 2003 Paolo Monti - Future Time S.r.l.


Reparación manual

Deshabilitar las carpetas compartidas por programas P2P

Si utiliza un programa de intercambio de archivos entre usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas instrucciones:

Cómo deshabilitar compartir archivos en programas P2P
http://www.vsantivirus.com/deshabilitar-p2p.htm


Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

LOAD32

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Habilitando la protección antivirus en KaZaa

Desde la versión 2.0, KaZaa ofrece la opción de utilizar un software antivirus incorporado, con la intención de proteger a sus usuarios de la proliferación de gusanos que utilizan este tipo de programas.

Habilitando la protección antivirus en KaZaa
http://www.vsantivirus.com/kazaa-antivirus.htm


Sobre las redes de intercambio de archivos

Si usted utiliza algún software de intercambio de archivos entre usuarios (P2P), debe ser estricto para revisar con dos o más antivirus actualizados, cualquier clase de archivo descargado desde estas redes antes de ejecutarlo o abrirlo en su sistema.

En el caso que el programa incorpore alguna protección antivirus (como KaZaa), habilitarla es una opción aconsejada, pero los riesgos de seguridad en el intercambio de archivos siempre estarán presentes, por lo que se deben tener en cuenta las mismas precauciones utilizadas con cualquier otro medio de ingreso de información a nuestra computadora (correo electrónico, descargas de programas desde sitios de Internet, etc.).

De cualquier modo, recuerde que la instalación de este tipo de programas, puede terminar ocasionando graves problemas en la estabilidad del sistema operativo.

Debido a los riesgos de seguridad que implica, se desaconseja totalmente su uso en ambientes empresariales, donde además es muy notorio e improductivo el ancho de banda consumido por el programa.


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm


Actualizaciones:

18/jul/03 - Herramienta de Nod32 para la limpieza del Mapson.C



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com