Lentin.M
PeligrosidadDañoPropagación

Efectos 

Lentin.M realiza las siguientes acciones:

• Finaliza numerosos procesos relacionados con antivirus y cortafuegos, entre otros, en el caso de que éstos se encuentren activos. Los procesos que finaliza, ordenados alfabéticamente, son los siguientes:
  
  _AVP32, _AVPCC, _AVPM, ACKWIN32, ALERTSVC, AMON.EXE, ANTIVIR ATRACK, AVCONSOL, AVP.EXE, AVP32, AVPCC.EXE, AVPM.EXE, AVSYNMGR, CFINET, CFINET32, ESAFE.EXE, F-AGNT95, F-PROT95, FP-WIN, FRW.EXE, F-STOPW, IAMAPP, IAMSERV.EXE, ICMON, IOMON98, LOCKDOWN2000, LOCKDOWNADVANCED, LUALL, LUCOMSERVER, MCAFEE, N32SCANW, NAVAPSVC, NAVAPW32, NAVLU32, NAVRUNR, NAVW32, NAVWNT, NISSERV, NISUM, NMAIN, NOD32, NORTON, NPSSVC, NRESQ32, NSCHED32, NSCHEDNT, NSPLUGIN, NVC95, PCCIOMON, PCCMAIN, PCCWIN98, PCFWALLICON, POP3TRAP, PVIEW, PVIEW95, REGEDIT, RESCUE32, RMVTRJANSAFEWEB, SCAN32, SWEEP95, SYMPROXYSVC, TDS2-98, TDS2-NT, VET95, VETTRAY, VSECOMR, VSHWIN32, VSSTAT, WEBSCANX, WEBTRAP y ZONEALARM .
• Muestra en pantalla una ventana con un falso mensaje de error cuando es ejecutado:
  
  

  

Metodo de Infección 

Lentin.M crea los siguientes archivos en el directorio de sistema de Windows:

• WINSERVICES.EXE, NAV32_LOADER.EXE y TCPSVS32.EXE. Estos archivos son una copia del gusano.

Lentin.M crea las siguientes entradas en el Registro de Windows:

• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  WinServices.exe = %sysdir%\ WinServices.exe
• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ RunServices
  WinServices.exe = %sysdir%\ WinServices.exe
  donde %sysdir% es el directorio de sistema de Windows.
  Mediante estas entradas, Lentin.M consigue ejecutarse cada vez que Windows se inicia.

Lentin.M modifica la siguiente entrada del Registro de Windows:

• HKEY_CLASSES_ROOT\ exefile\ shell\ open\ command
  (Predeterminado) = “%1” %*
  
  Cambia esta entrada por:
  
  HKEY_CLASSES_ROOT\ exefile\ shell\ open\ command
  (Predeterminado) = %sysdir%\ nav32_loader.exe “%1” %*
  
  Mediante esta modificación, Lentin.M se activa cada vez que un archivo con extensión EXE sea ejecutado.

Método de Propagación 

Lentin.M se propaga a través del correo electrónico. Para ello, realiza el siguiente proceso:

• Llega al ordenador en un mensaje de correo de características variables, escrito en inglés:
  
  Remitente: es variable.
  Para consultar la lista de posibles remitentes de los mensajes de correo en los que llega Lentin.M, pulse aquí.
  
  Asunto: es variable.
  Para consultar la lista de asuntos de los mensajes de correo en los que llega Lentin.M, pulse aquí.
  
  Contenido: es variable.
  Para consultar la lista de contenidos de los mensajes de correo en los que llega Lentin.M, pulse aquí.
  
  Archivo adjunto: es variable.
  Para consultar la lista de los ficheros adjuntos de los mensajes de correo en los que llega Lentin.M, pulse aquí.
• El ordenador queda afectado cuando el usuario ejecuta el archivo adjunto.
• Lentin.M busca direcciones de correo electrónico en archivos que contengan en su interior las siguientes cadenas: hotmail y ht.
• Lentin.M envía una copia de sí mismo a todas las direcciones que ha recogido, además de a todos los contactos almacenados en la Libreta de direcciones de Windows, MSN Messenger y Yahoo Pager. Para ello, utiliza su propio motor SMTP.

Otros Detalles  

Lentin.M está escrito en el lenguaje de programación C++. Este gusano tiene un tamaño de 28672 Bytes cuando está comprimido mediante UPX, y de 61440 Bytes una vez es descomprimido.