Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Efectos
Lentin.L finaliza numerosos procesos relacionados con antivirus y firewalls en los ordenadores afectados, en el caso de que éstos se encuentren activos. Los procesos que finaliza son los siguientes:
_AVP32, _AVPCC, _AVPM, ACKWIN32, ALERTSVC, AMON.EXE, ANTIVIR, TRACK, AVCONSOL, AVP.EXE, AVP32, AVPCC.EXE, AVPM.EXE, AVSYNMGR, CFINET, CFINET32, ESAFE.EXE, F-AGNT95, F-PROT95, FP-WIN, FRW.EXE, F-STOPW, IAMAPP, IAMSERV.EXE, ICMON, IOMON98, LOCKDOWN2000, LOCKDOWNADVANCED, LUALL, LUCOMSERVER, MCAFEE, N32SCANW, NAVAPSVC, NAVAPW32, NAVLU32, NAVRUNR, NAVW32, NAVWNT, NISSERV, NISUM, NMAIN, NOD32, NORTON, NPSSVC, NRESQ32, NSCHED32, NSCHEDNT, NSPLUGIN, NVC95, PCCIOMON, PCCMAIN, PCCWIN98, PCFWALLICON, POP3TRAP, PVIEW, PVIEW95, REGEDIT, RESCUE32, RMVTRJANSAFEWEB, SCAN32, SWEEP95, SYMPROXYSVC, TDS2-98, TDS2-NT, VET95, VETTRAY, VSECOMR, VSHWIN32, VSSTAT, WEBSCANX, WEBTRAP, ZONEALARM.
Metodo de Infección
Lentin.L crea los siguientes ficheros en el directorio de sistema de Windows:
- WINSERVICES.EXE, NAV32_LOADER.EXE y TCPSVS32.EXE, que contienen el código de infección del gusano.
- WINLOADER32.DLL, que sólo será creado en aquellos ordenadores cuyo sistema operativo sea Winodws XP/2000/NT.
Lentin.L también crea una copia de sí mismo en el directorio de sistema de Windows, con un nombre aleatorio elegido de la siguiente lista:
- BE_HAPPY.SCR
- BEST_FRIEND.SCR
- COLOUR_OF_LIFE.SCR
- DANCE.SCR
- FRIEND_FINDER.EXE
- FRIEND_HAPPY.SCR
- FRIENDSHIP.SCR
- FRIENDSHIP_FUNNY.SCR
- FUNNY.SCR
- GC_MESSENGER.EXE
- HOTMAIL_HACK.EXE
- I_LIKE_YOU.SCR
- LIFE.SCR
- LOVE.SCR
- SHAKE.SCR
- SWEET.SCR
- TRUE_LOVE.SCR
- WORLD_OF_FRIENDSHIP.SCR
Lentin.L crea las siguientes entradas en el Registro de Windows:
- HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run WinServices.exe C:\ %System%\ WinServices.exe
- HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ RunServices WinServices.exe C:\ %System%\WinServices.exe Con ello, Lentin.L se ejecuta cada vez que se inicie Windows.
Método de Propagación
Lentin.L utiliza principalmente el correo electrónico para propagarse. Lentin.K llega oculto en un mensaje con unas características muy variables:
- Asunto: Resulta variable. Si quiere ver la lista de posibles asuntos del mensaje de correo en el que llega Lentin.L, pulse aquí.
- Contenido: Resulta variable. Si quiere ver la lista de posibles contenidos del mensaje de correo en el que llega Lentin.L, pulse aquí.
- Fichero adjunto: Resulta variable. Si quiere ver la lista de posibles ficheros adjuntos al mensaje de correo en el que llega Lentin.L, pulse aquí.
- Remitente: Resulta variable. Si quiere ver la lista de posibles remitentes del mensaje de correo en el que llega Lentin.L, pulse aquí.
Lentin.L utiliza su propio motor de SMTP para mandar un correo electrónico de sí mismo a todos los contactos de la Libreta de direcciones de Windows, MSN Messenger, .NET Messenger y Yahoo Pager, así como los emails que encuentre en el interior de todos los ficheros que tengan como extensión HTM.
Lentin.L trata de utilizar la dirección del servidor SMTP por defecto del ordenador infectado para mandar los mensajes de correo. Sin embargo, si no encuentra dicha información utiliza alguna de las muchas direcciones de servidores SMTP que contiene en su código.
Otros Detalles
Lentin.L está escrito en lenguaje de programación C++. El fichero que realiza la infección está comprimido con UPX y ocupa 34304 Bytes.