I-Worm.Mapson
Details
I-Worm.Mapson.a
The Mapson Internet worm spreads via the Internet attached to infected emails and through file sharing networks and folders.
The worm itself is a Windows PE EXE file about 180K in size when compressed by UPX, the decompressed size is about 440K). It is written in Borland Delphi 6.0.
Installing
While installing the worm copies itself to the Windows system directory using the name Lorraine.exe. It them registers this file in the system registry auto-run key:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Lorraine = %SystemDir%\Lorraine.exe
The Mapson worm also copies itself to C: root directory under the name Lorraine_vxd and to the Windows system directory using the following names:
amigos.pif
amigototote.pif
amor-por-ti.pif
antiwinlogon.pif
antrox.scr
BigBrother.pif
bugmsn.pif
chistesgraficos.pif
chupamelo.pif
comotegustan.pif
CracksPPZ.pif
cristina-aguilera.pif
defaced-madonna-site.pif
eggbrother.exe
EICAX.COM
existeee.pif
financiamiento.pif
GEDZAC.PIF
grancarnal.exe
grande.pif
hackeahotmail.pif
historial.pif
hotmail.pif
kamasutra.pif
lacosha@hotmail.com
LatinCard.pif
linuxandmicrosoft.pif
Lorenaaaa.pif
Madonna_sEXY.pif
MariaVirgen.pif
Matrix-Trailer.pif
mujeres.pif
MËsica.pif
No-Spam.exe
nuevovirus.txt .pif
Oradores.pif
osamabinhuevoback.exe
parejaideal.txt.pif
petardas.pif
porqueteamo.pif
projimo.pif
relacionsexual.pif
resetarios.pif
SARS.pif
seguridad_en_hotmail.pif
serhacker.pif
Shakira.pif
solo-a-ti.pif
Spamno.pif
te-pido.scr
teamo.exe
test-idiota.pif
testpasion.pif
thalialoca.pif
TutorialVBSvirus.pif
WindowsMediaPlayerBug.pif
www.mfernanda.com
www.vsantiviru.com
www.zonaviru.com
zorrotttas.pif
Spreading: Email
To send infected messages the worm uses a built-in SMTP engine. The worm gets victim email addresses from the MSN Messenger contact list (up to 2000 emails).
The infected messages have a plain text format and the worm activates from infected email only when (if) a user clicks on the infected file attachment.
The infected messages have various fields: “From”, “Subject”, message body and the attached file name.
Below “real email” means that the worm uses a fake email address in the “From” field, this email address is randomly selected from emails found on affected machines; While “empty” means the field is empty.
The data in the email message fields are randomly selected from 60 variants depending on current time (specifically the seconds).
Variant 1:
From: bigbrother@bigbrother.tv
Subject: Big Brother te espera
Attach: BigBrother.pif
Body:
Felicidades! le hemos enviado este E-Mail porque usted ha ganado un pasaje a MÊxico al programa
Reality show BigBrother,si usted quiere participar en este programa deber abrir el archivo adjunto.
Variant 2:
From: support@hotmail.com
Subject: hotmail.pif
Attach: Su cuenta de hotmail sera eliminada
Body:
Estimado usuario de hotmail,debido al trafico en el servidor y a las fallas que se han venido
presentando en este presente mes,hemos de informarle que su cuenta ser removida de nuestra base
de datos en menos de 24 horas, le rogamos por favor lea el adjunto con los pasos para evitar que
esto suceda. Atentamente el Equipo tecnico de Hotmail.
Variant 3:
From: support@passport.com
Subject: 10 reglas de seguridad para su cuenta de hotmail
Attach: seguridad_en_hotmail.pif
Body:
Amable Usuario de hotmail, la razÕn de este mail es para darle a conocer las 10 reglas de
seguridad que un usuario de passport debe tener en cuenta para evitar que su cuenta sea borrada,
hackeada etcalllas reglas estÂn en el adjunto.Atentamente equipo tecnico de passport
Variant 4:
From: hacker@hotmail.com
Subject: ?Puedo ser hacker en 24 horas?
Attach: serhacker.pif
Body:
No. La respuesta es un no rotundo. Ni en 24 ni en 48 horas 
Pero en este tiempo sÎ puedes
tener una idea aproximada y muy bÂsica de lo que es y de lo que ‘no es’ un hacker y decidir si
quieres convertirte en uno de ellos. Te recomiendo que leas el archivo que te mando, esta en
espaÓol y es muy interesante acerca de estos temas (hacking,cracking,vulnerabilidades).
Variant 5:
From: “real email”
Subject: Problema de seguridad en Windows Media Player
Attach: WindowsMediaPlayerBug.pif
Body:
Windows Media Player, el reproductor multimedia que acompaÓa gratuitamente a los sistemas
Microsoft, se ve afectado por un problema de seguridad que puede permitir la ejecuciÕn de
cÕdigo en la mÂquina del usuario atacado.por lo que recomendamos leer mÂs acerca de este bug en
el adjunto y aplicar los correspondientes parches de seguridad.
Variant 6:
From: “real email”
Subject: ?CÕmo hackear hotmail?
Attach: hackeahotmail.pif
Body:
Hola, he estado buscando en la red y encontrÊ esta guÎa de hacking que enseÓa como hackear
hotmail,orienta al robo de cuentas, imagÎnate robarle la cuenta a tu novia, tu amigo etc.. a
quien quieras, te lo aseguro yo ya lo leÎ y lo comprobÊ, disfrßtalo.
Variant 7:
From: notice@madonna.com
Subject: Hackean pÂgina de Madonna sospechosa de envenenar KaZaA
Attach: defaced-madonna-site.pif
Body:
Tras sospecharse que Madonna contaminÕ la red KaZaA con algunos archivos envenenados, un grupo
hacker ha contraatacado asaltando su pÂgina y colgando algunos de los temas de su ßltimo Âlbum
en formato MP3.mÂs de esta revelante noticia en el adjunto.
Variant 8:
From: “real email”
Subject: ?Que le atrae a las mujeres?
Attach: mujeres.pif
Body:
Un reciente estudio del comportamiento en la mujer afirma que a ellas les atrae de los
hombreses la cara, las manos y su movimiento, si quiere saber mÂs lea por favor el articulo que
le adjuntamos
Variant 9:
From: Anti-Spam@campaÓa.com
Subject: SPAM La proxima gran epidemia
Attach: No-Spam.exe
Body:
El Spam esta avanzando constantemente y a logrado saturar nuestros correos electronicostal vez
sea el principio de una epidemia mundial de esta peste que nos tiene cansados de la
publicidad.
Variant 10:
From: test@hispasec.com
Subject: Tests antivirus para comprobar la protecciÕn del e-mail
Attach: EICAX.COM
Body:
Hispasec pone a disposiciÕn de todos los usuarios dos tests para comprobar el correcto
funcionamiento de la protecciÕn antivirus del correo electrÕnico. El primero de ellos nos
indicar la correcta instalaciÕn y buen funcionamiento del antivirus, mientras que el segundo
determinar la capacidad de detecciÕn proactiva para identificar gusanos que explotan
vulnerabilidades conocidas.
Variant 11:
From: Amor@teamo.com
Subject: Te amo
Attach: teamo.exe
Body: Lo amo a usted por que es la persona mÂs linda del mundo.
Variant 12:
From: Latincards@latincards.com
Subject: LatinCards
Attach: LatinCard.pif
Body: Le han enviado una LatinCard para poder visualizarla abra el adjuntoGracias.
Variant 13:
From: “real email”
Subject: Chistes GrÂficos
Attach: chistesgraficos.pif
Body: Estos son los chistes grÂficos que mÂs me han gustado espero que a ti tambiÊn.
Variant 14:
From: lorena@hotmail.com
Subject: Te Amo
Attach: porqueteamo.pif
Body: Averigua por que…..
Variant 15:
From: “real email”
Subject: Test de pasiÕn
Attach: testpasion.pif
Body: Test de pasiÕn para usted y su pareja, contÊstelo y descubra cuanto desea y quiere a su pareja.
Variant 16:
From: Maria_fernanda@mfernanda.com
Subject: Re: Dime que te parece
Attach: www.mfernanda.com
Body:
Hola, como estÂs? hace tiempo que no se nada de ti… querÎa hablar contigo sobre un tema.Se
trata de mi nuevo portal en el que quiero ofrecer toda mi recopilaciÕn de links en espanol. Me
gustarÎa que le echaras un vistazo y me dijeras que tal lo ves tu, si te gusta o cambiarÎas
algo.
Variant 17:
From: “real email”
Subject: RE: Test de idiotes
Attach: test-idiota.pif
Body: Compruebe si usted es un verdadero idiota.
Variant 18:
From: “real email”
Subject: Kamasutra
Attach: kamasutra.pif
Body: Kamasutra el arte del sexo
Variant 19:
From: “real email”
Subject: Su pareja ideal
Attach: parejaideal.txt.pif
Body:
Los 10 consejos para tener una pareja ideal,LÊalos y pÕngalos en practica, le aseguro que
tendr resultadossatisfactorios.
Variant 20:
From: “real email”
Subject: Amor Real…
Attach: existeee.pif
Body: en verdad existe?
Variant 21:
From: support@passport.com
Subject: Vulnerabilidad Critica en el Msn Messenger
Attach: bugmsn.pif
Body:
Una vulnerabilidad critica detectada en el msn messenger podrÎa provocar el robo de su cuenta
de correoes importante que lea mas de esta vulnerabilidad para poderse proteger de ella.
Variant 22:
From: “real email”
Subject: ?CÕmo puedo crear un virus?
Attach: TutorialVBSvirus.pif
Body:
Esta pregunta siempre me la han hecho y creo que la voy a responder. Para crear un virus no
necesitas saber mucho de computaciÕn, con solo conocer Un poco del lenguaje de programaciÕn
basta, por que no empiezas con el Visual Basic Script, te adjunto un tutorial muy completo
acerca de este lenguaje y la creaciÕn de virusQue te diviertas.Bye.
Variant 23:
From: Webmaster@vsantiviru.com
Subject: Informate de los virus
Attach: www.vsantiviru.com
Body:
Hola, soy el webmaster de VSANTIVIRUS, estamos realizando una camapaÓa Contra los virus
informaticos y nuestro deber es informarle a los usuarios como usted Que es un virus, las
acciones que causan y como desinfectarse.Si usted desea acceder a toda esta informaciÕn haga el
favor de hacer clic en el link que le adjuntamos.Gracias
Variant 24:
From: Webmaster@zonaviru.com
Subject: Zona Virus.com tu Zona Antivirica en espaÓol
Attach: www.zonaviru.com
Body:
Hola, soy el webmaster de zonaviru y quiero invitarlo a visitar mi sitio web, usted podrÂ
informarse sobre los ßltimos virus aparecidos, tambiÊn sabr como se crean estas alimaÓas
informÂticas,quienes los crean, como desinfectarse etc… mucha mucha mÂs informaciÕn.Cuento
con su visita Gracias Atentamente el Webmaster de ZonaVirus
Variant 25:
From: “real email”
Subject: Virus en Hotmail
Attach: nuevovirus.txt .pif
Body:
Hola, se a dado una alerta por parte de las empresas antivirus, de un nuevo virus que se expande
por hotmail, hasta el momento indetectable para cualquier producto antiviral, por lo que
recomiendo leer las precauciones sobre este nuevo gusano informatico. Para mÂs informaciÕn, favor
de leer el documento informativo.
Variant 26:
From: cristina_aguilera@cristina-aguilera.com
Subject: Cristina Aguilera Puta de medio tiempo o mentira?
Attach: cristina-aguilera.pif
Body: es la mera neta.
Variant 27:
From: “real email”
Subject: EGG Brother
Attach: eggbrother.exe
Body: LA ultima escena de egg brother vivela ya.
Variant 28:
From: “real email”
Subject: Osama Bin Huevo regresa
Attach: osamabinhuevoback.exe
Body: Osama bin huevo regresa con una nueva amenaza a los Huevos Unidos de AmÊrica
Variant 29:
From: “real email”
Subject: El Gran Carnal
Attach: grancarnal.exe
Body: Mirate que asterisco se tiro encima de doÓa pepa jeje
Variant 30:
From: “real email”
Subject: A Dios le pido….
Attach: te-pido.scr
Body: Que si me muero sea de amor y si me enamoro sea de vos….
Variant 31:
From: “real email”
Subject: Antro
Attach: antrox.scr
Body: Hey sin so sobre tras ya no digas mÂs y despierta la locura!!!
Variant 32:
From: “real email”
Subject: Chupamelo
Attach: chupamelo.pif
Body: Chupamelo ya… y dime que te parece.
Variant 33:
From: “real email”
Subject: Ta grande
Attach: grande.pif
Body: Lo tengo grande y tß?
Variant 34:
From: “real email”
Subject: Tengo Sed…
Attach: amor-por-ti.pif
Body: Tengo sed de amor por tÎ.
Variant 35:
From: “real email”
Subject: para usted
Attach: historial.pif
Body: Si te llego mal, respondeme
Variant 36:
From: “real email”
Subject: “empty”
Attach: petardas.pif
Body: Si el adjunto no funciona respondame lo mÂs antes posible
Variant 37:
From: “real email”
Subject: Alerta de virus
Attach: antiwinlogon.pif
Body:
Cuidado! este virus es peligroso puede formatearte el disco duro, llega por hotmail sin que te
des cuenta, tu podrias estar infectado busca en tu sistema el archivo winlogon.exe, si lo
tienes es mejor que utilizes la vacuna que te mando, hazlo cuanto antes!! no esperes!!
Variant 38:
From: “real email”
Subject: Necesita comprar un auto?
Attach: financiamiento.pif
Body: Lo mejores planes de financiamiento.
Variant 39:
From: “real email”
Subject: Zorras y mÂs zorras
Attach: zorrotttas.pif
Body: Zorritas gratis dandole duro.
Variant 40:
From: “real email”
Subject: Matrix Trailer
Attach: Matrix-Trailer.pif
Body: Chequelo de una vez!! no se lo pierda.
Variant 41:
From: “real email”
Subject: ?Sabe que es GEDZAC?
Attach: GEDZAC.PIF
Body: Por si no sabe que es. una explicaciÕn muy precisa para usted.
Variant 42:
From: “real email”
Subject: Como te gustan?
Attach: comotegustan.pif
Body: A mi me gustan, altas, bonitas, tetonas, nalgonas y tiernitas pero a ti como te gustan?
Variant 43:
From: “real email”
Subject: ??
Attach: Oradores.pif
Body: Hola necesito tu ayuda con este archivo Gracias
Variant 44:
From: “real email”
Subject: Lo que nos enseÓa la iglesia
Attach: projimo.pif
Body: La Iglesia nos enseÓa a amar, querer al prÕjimo pero usted deberÂs lo ama?
Variant 45:
From: “real email”
Subject: para tÎ
Attach: Lorenaaaa.pif
Body: Si el adjunto esta defectuoso reenviamelo.
Variant 46:
From: “real email”
Subject: InformaciÕn sobre Sars
Attach: SARS.pif
Body: Ayßdenos a contrarrestar el SARS, por favor aprenda como se contagia y sus efectos.
Variant 47:
From: “real email”
Subject: Para mis amigos
Attach: amigos.pif
Body: De un amigo para un amigo.
Variant 48:
From: “real email”
Subject: Eres un perdedor
Attach: Madonna_sEXY.pif
Body: Eres un perdedor no te atreves ni a mirar la foto que te doy.
Variant 49:
From: “real email”
Subject: Spam..
Attach: Spamno.pif
Body: Di no al SPAM.
Variant 50:
From: “real email”
Subject: Para mis verdaderos amigos
Attach: amigototote.pif
Body: Te lo mereces, eres un verdadero amigo
Variant 51:
From: “real email”
Subject: Para ti nomas
Attach: solo-a-ti.pif
Body: Para ti y nadie mÂs
Variant 52:
From: “real email”
Subject: Necesito su ayuda
Attach: resetarios.pif
Body: Tengo problemas con este archivo, seria tan amable de revisarlo por mi?
Variant 53:
From: “real email”
Subject: Sexo y mÂs
Attach: relacionsexual.pif
Body: 10 formas para disfrutar de sus relaciones sexuales
Variant 54:
From: “real email”
Subject: Linux se vende a Microsoft!
Attach: linuxandmicrosoft.pif
Body: Al parecer Linux murio y se vendio a microsoft
Variant 55:
From: “real email”
Subject: Recuerda!
Attach: lacosha@hotmail.com
Body: Espero que siempre me escribas.
Variant 56:
From: “real email”
Subject: Esta si que es puta!
Attach: Shakira.pif
Body: NO hables mÂs y dime si es puta
Variant 57:
From: “real email”
Subject: Tu Soft
Attach: CracksPPZ.pif
Body: AquÎ estan los cracks para los programas que pediste
Variant 58:
From: “real email”
Subject: La Virgen MarÎa no es virgen
Attach: MariaVirgen.pif
Body: No me crees? velo tu mismo
Variant 59:
From: “real email”
Subject: Mßsica Digital Gratis
Attach: Mßsica.pif
Body: BÂjate todas las canciones que quieras.
Variant 60:
From: “real email”
Subject: te gusta?
Attach: thalialoca.pif
Body: espero que te guste, si no es asi dimelo.
There are also three additional infected email variants but they are not used because of a bug in the worm code. They are:
Subject: Mamalo
Attach: mamalo.pif
Body: Mamalo que ta grande…..
Subject: La mejor forma de cortar a un chico
Attach: sindolor.pif
Body: Las 10 mejores formas para hacer esto menos doloroso.
Subject: Amistad
Attach: friends.pif
Body: Usted es uno de mis mejores amigos.
Spreading: P2P
The worm copies itself to the following P2P file sharing network and to the following shared files directories:
\KaZaA\My Shared Folder \edonkey2000\incoming \gnucleus\downloads \icq\shared files \kazaa lite\my shared folders \limewire\shared \morpheus\my shared folder \Grokster\My Grokster
Worm copies have the names that are built using the following combinations:
“Sexy Bikini” + “Galilea Montijo” + “.gif .exe”
“Sexo en la playa con” “Shakira”
“las pelotas de” “Britney Spears”
“Desnuda en la playa” “Lorena”
“Nude Pic” “Halle berry”
“Sexy Beach” “Cameron dias”
“Pink”
“Thalia”
“Paulina Rubio”
“Francini”
“Brenda”
“Celine Dion”
“Kylie Minogue”
“Laura Pausini”
“Lili Brillanti”
“Angelica Vale”
“Alejandra Guzman”
“Kazaa Media Desktop” + ” Cracked.exe”
“ICQ Lite” ” crack all versions.exe”
“WinZip” ” .exe”
“iMesh” ” KeyGen.exe”
“AOL Instant Messenger (AIM)” ” Fullversion.exe”
“ICQ Pro 2003a beta”
“Morpheus”
“Ad-aware”
“Trillian”
“Download Accelerator Plus”
“ZoneAlarm”
“Grokster”
“WinRAR”
“DivX Video Bundle”
“RealOne Free Player”
“NetPumper”
“Adobe Acrobat Reader (32-bit)”
“JetAudio Basic”
“WS_FTP LE (32-bit)”
“SnagIt”
“Registry Mechanic”
“WinMX”
“MSN Messenger (Windows NT/2000)”
“Biromsoft WebCam”
“Nero Burning ROM”
“Microsoft Windows Media Player”
“Spybot - Search & Destroy”
“Copernic Agent”
“Winamp”
“Diet Kaza”
“SolSuite 2003: Solitaire Card Games Suite”
“Pop-Up Stopper”
“QuickTime”
“XoloX Ultra”
“Microsoft Internet Explorer”
“Network Cable e ADSL Speed”
“Kazaa Download Accelerator”
“Global DiVX Player”
“DirectDVD”
“Kaspersky Antivirus”
“PerAntivirus”
“Norton Antivirus”
“Panda Antivirus”
“McAfee Antivirus”
“Microsoft Office XP”
“Microsoft Windows 2003″
“Office 2003″
“Visual Studio Net”
“Delphi 6″
“msn hack”
“Matrix Movie”
“Virtual Girl SofÎa”
“FireWorks 4″
“FIreWorks MX”
Examples following this system:
“Sexy Bikini Galilea Montijo.gif .exe”
“Sexy Bikini Shakira.gif .exe”
etc.
File sharing network examples:
“Kazaa Media Desktop Cracked.exe”
“Kazaa Media Desktop crack all versions.exe”
etc.
Payload
When infected messages are sent out the worm plays the standard system start sound.
The Mapson worm then creates the C:\lorraine.hta file, writes an HTML message to this file and on 4th of each month opens it:
In July, each day the worm displays the messages:
Related Posts