NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es

Anterior

Combinación de dos virus en uno: W95/Linong@MM y VBS/Linong@MM

Nombre de virus: W95/Linong@MM

Alias conocidos: W32.Linong

Riesgo Infección: Bajo (Bajo, Alto, Muy Alto)

Activación: Envío masivo a través de listas de Outlook

Propagación: Por ejecución fichero .EXE adjunto al e-mail

Detección: DATS 4146 - disponibles a partir de 05/07/2001 -

Motor necesario: 4.0.70

Infección actual: Inicial (Inicial, Media, Elevada)


Se trata de un gusano mass-mailing de 32-bit que también genera un virus VBScript, VBS/Linong@MM (detectado como VBS/Loveletter.cq@MM con DAT 4108). No funciona en Windows NT ni en Windows 2000. Se envía como fichero .EXE, y su ejecución provoca el envío del gusano a todos los destinatarios de la libreta de direcciones de Outlook. El Asunto, Cuerpo y Fichero Adjunto del mensaje se escogen aleatoriamente de entre los siguientes:

 

Asunto: Bill
Cuerpo:

Bill..


Fichero Adjunto: BillGate.exe

Asunto: Password
Cuerpo:

Here The list of Nude Password Website. All of them Still Active, and few of them are death password

 

Fichero Adjunto: 868879.exe

Asunto: MyGirlFriend' Dogs
Cuerpo:

Nice dog...

 

Fichero Adjunto: BullBull.exe

Asunto: MyGirlFriend Dogs
Cuerpo:

Good Dog and Smart dogs

 

Fichero Adjunto: BullBull.exe

Asunto: Sexy Model
Cuerpo:

Did you ever see the sexy girls like her

 

Fichero Adjunto: Sexy.Exe

Asunto: Popeye Cartoon
Cuerpo:

The New Popeye New Cartoon NetWork

 

Fichero Adjunto: Popeye.exe

Asunto: Olive & Popeye
Cuerpo:

Olive And Popeye Cartoon

 

Fichero Adjunto: Olive.exe

Asunto: Sweet Lovely
Cuerpo:

My Icq Friend Sweet and Lovely

 

Fichero Adjunto: Lovely.exe

Asunto: Info From CFusion
Cuerpo:

You can update your Cfusion Online For Free

 

Fichero Adjunto: CFusion.Exe

Asunto: Patch Your CFusion
Cuerpo:

Are You Ready Fix Your Cfusion,Please Update

 

Fichero Adjunto: PatchFusion.exe

Asunto: Still Remember You
Cuerpo:

She is MY sexy Linong

 

Fichero Adjunto: MyLinong.exe

Asunto: Man Choice
Cuerpo:

Are You Man or women. This is The sponser from our site The man choice

 

Fichero Adjunto: StarMild.exe

Asunto: Kiss Me
Cuerpo:

100 way to kiss your GirlFriend or your boyfriend

 

Fichero Adjunto: Kiss.exe

Asunto: Need Help
Cuerpo:

Do you need help ? to get money over the internet. You can read the help

 

Fichero Adjunto: Help.exe

Asunto: Light up The Night
Cuerpo:

Light up The Night PARTY...

 

Fichero Adjunto: Light up the night.exe

Asunto: Mikropos
Cuerpo:

The New Mikropos Software From Mikropos Network

 

Fichero Adjunto: MyLinong.Exe

 

Asimismo, el virus se copia como PCpower.exe en el directorio WINDOWS, como MyLinong.Exe en WINDOWS SYSTEM, y también en el mismo directorio utilizando un nombre aleatorio de entre los siguientes:

 

868879.exe
BullBull.exe
CFusion.Exe
Help.exe
Kiss.Exe
Light up the night.exe
Lovely.exe
Moly.exe
Olive.exe
PatchFusion.exe
Popeye.exe
Sexy.Exe
StarMild.exe

Luego, crea varias claves de registro para cargarse al inicio :

 

HKLM\Software\Microsoft\Windows\CurrentVersion\
Run\MyLinong\C:\WINDOWS\SYSTEM\MyLinong.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\
Run\PCPower\C:\WINDOWS\PCpower.exe

Igualmente, crea 501 carpetas como sigue:

 

c:\Linong I Love U So Much Linong For ever My Love0
c:\Linong I Love U So Much Linong For ever My Love1
c:\Linong I Love U So Much Linong For ever My Love2
.
.
.
c:\Linong I Love U So Much Linong For ever My Love500

 

Eliminación (para W95/Linong@MM)

Utilizar motor mínimo 4.0.70 y DATS min. 4146 para su detección y eliminación.

 

 

Nombre de virus: VBS/Linong@ MM

Alias conocidos: VBS/Loveletter.cq@MM

Riesgo Infección: Alto (Bajo, Alto, Muy Alto)

Activación: Envío masivo a través de listas de Outlook

Propagación: Por ejecución de fichero .VBS y por comparticiones abiertas de red

Detección: DATS 4108

Motor necesario: 4.0.70

Infección actual: Inicial (Inicial, Media, Elevada)

Este gusano mass-mail es generado por W95/Linong@MM (descrito arriba) y se detecta como VBS/Loveletter.cq@MM con DAT 4108.

Al ejecutarse el script, se generan los siguientes ficheros:

 

%WinDir%\mylinong.jpg.shs
%SysDir%\Kern32Lin.vbs
%WinDir%\Vbrun32DLL.vbs
%SysDir%\mylinong.jpg.vbs

También crea una aplicación HTML, %Temp%\mylinong.hta, que se ejecuta y muestra el siguiente texto:

I L o v e Y o u
L i n o n g

You are the love of my love, 5173n1n3ty31gh7
Almost One Year.., Miss U
01*29**879
01*29**868
*¿*

Crea varias claves de registro para cargarse al inicio :

HKLM\Software\Microsoft\Windows\CurrentVersion\
Run\Kern32lLin=%SysDir%\Kern32Lin.vbs

HKLM\Software\Microsoft\Windows\CurrentVersion\
RunServices\Vbrun32DLL=%WinDir%\vbrun32DLL.vbs

La página de inicio predeterminada de Microsoft Internet Explorer se configura como http://www.thewebpost.com/lovepoems/1198/dpt112098ily.shtml

El  script intenta enviar el siguiente e-mail a todos los destinatarios de la libreta de direcciones de Microsoft Outlook:

Asunto: One of this mail
Cuerpo:

True Story....

 

Fichero Adjunto: mylinong.exe
(no creado por este script, generado por W95/Linong@MM )

Finalmente, el virus intenta conectarse a la compartición C de direcciones IP aleatorias, y si lo consigue se copia en la carpeta de Inicio como linong.vbs.

Eliminación (para VBS/Linong@MM)

Utilizar motor mínimo 4.0.70 y DATS min. 4108 para su detección y eliminación.

 

SATINFO, VIRUSCAN SPAIN SERVICE  03-07-2001

 

Anterior