Lentin.K
PeligrosidadDañoPropagación

Efectos 

Lentin.K finaliza los siguientes procesos relacionados con programas antivirus y firewalls:

_AVP32, _AVPCC, _AVPM, ACKWIN32, ALERTSVC, AMON.EXE, ANTIVIR, TRACK, AVCONSOL, AVP.EXE, AVP32, AVPCC.EXE, AVPM.EXE, AVSYNMGR, CFINET, CFINET32, ESAFE.EXE , F-AGNT95, F-PROT95, FP-WIN, FRW.EXE, F-STOPW, IAMAPP, IAMSERV.EXE, ICMON, IOMON98, LOCKDOWN2000, LOCKDOWNADVANCED, LUALL, LUCOMSERVER, MCAFEE,N32SCANW, NAVAPSVC, NAVAPW32, NAVLU32, NAVRUNR, NAVW32, NAVWNT, NISSERV, NISUM, NMAIN, NOD32, NORTON, NPSSVC, NRESQ32, NSCHED32, NSCHEDNT, NSPLUGIN, NVC95, PCCIOMON, PCCMAIN, PCCWIN98, PCFWALLICON, POP3TRAP, PVIEW, PVIEW95, REGEDIT, RESCUE32, RMVTRJANSAFEWEB, SCAN32, SWEEP95, SYMPROXYSVC, TDS2-98, TDS2-NT, VET95, VETTRAY, VSECOMR, ;VSHWIN32,VSSTAT,WEBSCANX, WEBTRAP y ZONEALARM.

Metodo de Infección 

Lentin.K crea los siguientes archivos en el directorio de sistema de Windows:

• WINSERVICES.EXE, NAV32_LOADER.EXE y TCPSVS32.EXE, que contienen el código del gusano.

• WINLOADER32.DLL, que sólo será creado en aquellos ordenadores cuyo sistema operativo sea Windows XP/2000/NT.

Lentin.K también crea una copia de sí mismo en el directorio de sistema de Windows, con un nombre aleatorio elegido de la siguiente lista:

• BE_HAPPY.SCR
• BEST_FRIEND.SCR
• COLOUR_OF_LIFE.SCR
• DANCE.SCR
• FRIEND_FINDER.EXE
• FRIEND_HAPPY.SCR
• FRIENDSHIP.SCR
• FRIENDSHIP_FUNNY.SCR
• FUNNY.SCR
• GC_MESSENGER.EXE
• HOTMAIL_HACK.EXE
• I_LIKE_YOU.SCR
• LIFE.SCR
• LOVE.SCR
• SHAKE.SCR
• SWEET.SCR
• TRUE_LOVE.SCR
• WORLD_OF_FRIENDSHIP.SCR

Lentin.K crea las siguientes entradas en el Registro de Windows:

• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  WinServices.exe = %sysdir%\ WinServices.exe
  donde %sysdir% es el directorio de sistema de Windows.
• HKEY_LOCAL_MACHINE\ Software\Microsoft\ Windows\ CurrentVersion\ RunServices
  WinServices.exe = %sysdir%\ WinServices.exe
  Mediante estas entradas, Lentin.K se asegura de que se ejecutará cada vez que se inicie Windows.

Lentin.K modifica la siguiente entrada en el Registro de Windows :

• HKEY_CLASSES_ROOT\ exefile\ shell\ open\ command
  (Predeterminado) = "%1"%*
  Lentin.K cambia el valor (Predeterminado) = "%1"%* por nav32_loader.exe""%1"%* quedando la entrada:
  HKEY_CLASSES_ROOT\ exefile\ shell\ open\ command
  nav32_loader.exe""%1"%
  Con ello, Lentin.K se configura así mismo cada vez que se ejecuta un archivo con extensión EXE.

Método de Propagación 

Lentin.K se propaga a través del correo electrónico. Para ello, Lentin.K realiza el siguiente proceso:

• LLega al pordenador en un mensaje, escrito en inglés, con características variables:
  
  Remitente: uno de los siguientes, entre otros:
  Klein Anderson
  Codeproject
  SQL Library
  me2K
  Rocking Stone
  Super Soccer
  Sexy Screensavers
  Real Inc.
  Plus 6
  Plus 2
  Para ver la lista completa de los posibles Remitentes, pinche aquí.
  
  Asunto: uno de los siguientes, entre otros:
  Are you a Soccer Fan ?
  Are you beautiful
  Are you in Love
  Are you looking for Love
  Are you the BEST
  Check it out
  Check this shit
  Check ur friends Circle
  Demo KOF 2002
  Feel the fragrance of Love
  Para ver una lista completa de los posibles Asuntos, pinche aquí.
  
  Contenido: uno de los siguientes, entre otros:
  hey, did u always dreamnt of hacking ur friends hotmail account..
  finally i got a hotmail hack from the internet that really works..
  ur my best friend thats why sending to u..
  check it..just run it..enter victim's address and u will get the pass.
  
  hi,
  check the attached love screensaver
  and feel the fragrance of true love..
  
  Hi,
  check the attached screensaver..
  its really wonderfool..
  i got it from freescreensavers.com
  Para ver la lista completa de posibles Contenidos, pinche aquí.
  
  Archivo adjunto: uno de los siguientes:
  BE_HAPPY.SCR, BEAUTIFULL.SCR, BEST_FRIEND.SCR, BODY_BUILDING.SCR, BRITNEY_SAMPLE.SCR, CODEPROJECT.SCR, COLOUR_OF_LIFE.SCR, CUPID.SCR, DANCE.SCR, FIXELKERN.COM, FIXKLEZ.COM, FREAKOUT.EXE, FRIEND_FINDER_EXE, FRIEND_HAPPY.SCR, FRIENDSHIP.SCR, FRIENDSHIP_FUNNY.SCR, FUNNY.SCR, GC_MESSENGER_EXE, HACKER.SCR, HACKER_THE_LOVESTORY.SCR, HARDCORE4FREE.SCR, HOTMAIL_HACK_EXE.SCR, I_LIKE_YOU.SCR, I_LOVE_YOU.SCR, JENNA_JEMSON.SCR, KING_OF_FIGTHERS.EXE, KOF.EXE, KOF_DEMO.EXE, KOF_FIGHTING.EXE, KOF_SAMPLE.EXE, KOF_THE_GAME.EXE, KOF2002.EXE, LIFE.SCR, LOVE.SCR, MY_SEXY_PIC.SCR, MYPIC.SCR, MYPROFILE.SCR, NOTES.EXE, PEACE.SCR, PLAYBOY.SCR, PLUS2.SCR, PLUS6.SCR, PROJECT.EXE, RAVS.SCR, REAL.SCR, ROMANTIC.SCR, ROMEO_JULIET.SCR, SCREENSAVERS.SCR, SERVICES.SCR, SEX.SCRSOCCER.SCR, SEXY_JENNA.SCR, SHAKE.SCR, SQL_4_FREE.SCR, STONE.SCR, SWEET.SCR, SWEETHEART.SCR, THE_BEST.SCR, THEROCK.SCR, TRUE_LOVE.SCR, UP_LIFE.SCR, VALENTINES_DAY.SCR, VXER_THE_LOVESTORY.SCR, WAYS_TO_EARN_MONEY.EXE, WORLD_OF_FRIENDSHIP.SCR, WORLD_TOUR.SCR, XXX4FREE.SCR, ZDENKA.SCR y ZXXX_BROWSER.EXE.
• El ordenador quedará afectado cuando se ejecute el archivo adjunto.
• Lentin.K busca direcciones de correo a las que enviarse en archivos con extension HTM.
• Lentin.K se envía a todas las direcciones recopiladas el el ordenador, así como a todos los contactos de la Libreta de direcciones de Windows, MSN Messenger, .NET Messenger y Yahoo Pager, utilizando su propio motor de SMTP. (Lentin.K trata de utilizar el SMTP por defecto del ordenador afectado para mandar los mensajes de correo pero, si no encuentra información necesaria para ello, utiliza algún SMTP de los muchos que Lentin.K contiene en su código).

Otros Detalles  

Lentin.K está escrito en lenguaje de programación C++. Este gusano tiene un tamaño de 34304 Bytes y está comprimido con UPX.