Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Efectos
Lohack.C realiza las siguientes acciones:
- Mueve el puntero del ratón por la pantalla sin intervención del usuario, dificultando las tareas realizadas.
- Muestra un mensaje sobre la Ley de Servicios de la Sociedad de la Información y del Correo Electrónico.
Para consultar este mensaje, pulse aquí. - Lohack.C se propaga a través del correo electrónico en un mensaje que puede contener un script de Java, y que muestra alguno de los siguientes mensajes:
Tal día como hoy, el fenómeno auto-censura comenzó en españa...);
gracias a la LSSICE (www.lssi.es)
este mail está dedicado a todos aquellos que día a día...
luchan por recortarnos las libertades enmascarándolo con bonitas palabras
Perdón por las molestias. Hasta la próxima
para saber más mira la presentación que te adjunto - Comprueba si hay disponible una conexión a Internet a través de comandos PING lanzados a la página web de Microsoft.
Metodo de Infección
Lohack.C crea los siguientes ficheros en el directorio de Windows:
- WUCRTUPD.EXE. Es una copia del gusano.
- I-WORM_INFO.TXT, LSSI_INFO.TXT y NO_A_LA_LSSICE.TXT. Son ficheros de texto que contienen el texto mostrado por el gusano.
Lohack.C crea las siguientes entradas en el Registro de Windows:
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
“WindowsUpdate” = wucrtupd.exe
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ WindowsNT\ CurrentVersion\ Run
“WindowsUpdate” = wucrtupd.exe
Con estas entradas, Lohack.C consigue ejecutarse cada vez que se inicia Windows.
Método de Propagación
Lohack.C se propaga a través del correo electrónico y de redes de ordenadores.
1.- Propagación a través del correo electrónico.
Lohack.C llega como fichero adjunto en un mensaje de correo electrónico de características variables:
- Remitente: (uno de los siguientes)
Ministerio de Ciencia y Tecnología (info@myct.es)
Panda Antivirus (OXYGEN@pandasoftware.es) - Asunto: (uno de los siguientes)
Información sobre la LSSICE
Información sobre la LSSICE y sus consecuencias
Nuestras libertades en internet en peligro
FW:AVISO IMPORTANTE: un nuevo virus llamado LSSICE aparece en internet
FW:CAMPAÑA de información sobre la LSSICE
Fw:Te reenvío esta presentación que me ha llegado, ya me contarás
NUEVO VIRUS muy PELIGROSO
Resumen de la ley de internet
Nuevas formas de control
a las buenas
palabrerias
importante ACTUALIZACIÓN PARA WINDOWS
el fichero que me pediste
Acelerador de descargas ultra pequeño!!
Salvapantallas cachondisimo
PandaSoftware: Nueva utilidad para protegerte de hop.a - Contenido: (uno de los siguientes)
Mensaje 1:
Tiene la siguiente apariencia:
AVISO URGENTE
PandaSoftware Antivirus acaba de publicar su última herramienta para remover el gusano hop.b. Esta herramienta no solo remueve de su sistema el gusano/virus si es encontrado, sino que le protege de posibles infecciones futuras.
Intrucciones de instalación:
Ejecutar el fichero adjunto y reiniciar el ordenador
-------------------------------------------------------
PandaSoftware Antivirus - http://www.pandasoftware.es
Mensaje 2:
Te mando lo que me pediste, si tienes alguna duda coméntame
Mensaje 3:
No sabes lo que es la LSSI? una ley aprobada el 12 de octubre del 2002 con la que el gobierno de españa pretende controlarnos un poco más, en serio, no tiene desperdicio
Mensaje 4:
Te mando este resumen que me han pasado sobre la ley con la cual el gobierno de españa pretende regular el comercio electrónico, en cuanto leas un poco te darás cuenta que va más allá, como siempre... En fin, reenvíaselo a todo el que puedas por favor, entre todos quizás podamos hacer algo
Mensaje 5:
Desgraciadamente así es, un nuevo virus ha aparecido por la red de la mano del gobierno de españa. No, no es broma, en la presentación que te adjunto tienes más detalles, reenvíaselo a todo el que puedas, seguro que entre todos podemos hacer algo.
Para consultar el resto de los mensajes, pulse aquí.
- Fichero adjunto: (uno de los siguientes)
DOWNLOADME.EXE
FIXWIN32.0ER45-HOP.B.EXE
INFORMACION.EXE
LEEME.EXE
LEY LSSI.PDF.EXE
LEY.TXT.EXE
RESUMEN.TXT.EXE
RG2CATDB.EXE
TEXTO.TXT.EXE
WWW.MCYT.ES.EXE
WWW.PUTALSSI.ES.EXE
WWW.SENADO.LSSICE.ES.EXE
XSCREENSAVER.SCR
El fichero adjunto muestra el siguiente icono:
Cuando el fichero adjunto es ejecutado, o el contenido del mensaje se visualiza a través de la Vista previa del programa de correo, el ordenador quedará afectado. Esto sucede únicamente si no se han aplicado los parches de seguridad para el Internet Explorer (versiones 5.01 ó 5.5).
Lohack.C se envía a sí mismo a todos los contactos de la Libreta de direcciones de Windows. También intenta obtener direcciones de la Lista de contactos del programa de mensajería instantánea MSN Messenger, y utiliza un conocido buscador web para encontrar dominios que contengan direcciones a las que enviarse.
El mensaje de correo electrónico se envía en formato HTML y, dependiendo del asunto del mensaje, aprovecha las siguientes direcciones web para coger imágenes:
http:// www.mcyt.es/ images/ prin_r1_c01.gif
http:// www.pandasoftware.es/ activescan/ es/ imagenes/ activescan-ban.gif
http:// www.pandasoftware.es/ img/ frs/ logo.gif
El siguiente mensaje es sólo un ejemplo:
2.- Propagación a través de redes de ordenadores.
Lohack.C se propaga a través de redes de la siguiente manera:
Se copia a sí mismo a través de los recursos compartidos de la red. Después modifica el fichero WIN.INI en el ordenador remoto, para ejecutarse cada vez que se inicie Windows.
Se copia a sí mismo en el directorio de Inicio del ordenador remoto, para ejecutarse cada vez que se inicie Windows. Se copia a sí mismo con los siguientes nombres:
WWW.LSSI.ES.EXE
WWW.MCYT.COM.EXE
LEY.PDF.EXE
RESUMEN.TXT.EXE
TEXTO.TXT.EXE
LEY LSSI.PDF.EXE
LEY DE INTERNET Y EL COMERCIO ELECTRONICO.TXT.EXE
QUE NO JUEGUEN CON TUS LIBERTADES.TXT.EXE
TEXTO INTEGRO DE LA LSSICE.TXT.EXE
NO A LA LSSICE, OTRA INTERNET ES POSIBLE.TXT.EXE
NUEVO_VIRUS_EN_INTERNET-LEEME.TXT.EXE
FOTOS.DEL.ULTIMO.VIAJE.HTML.EXE
SALVADOR_DE_PANTALLAS.SCR
README.TXT.EXE
TARIFA_PLANA_DE_VERDAD_YA.HTML.EXE
NO_QUEREMOS_VIVIR_ASI.HTML.EXE
POR_UNA_SOCIEDAD_MAS_JUSTA.HTML.EXE
FUERA_LA_LSSI.ES_INNECESARIA.HTML.EXE
VUELVE_LA_INQUISICION.HTML.EXE
NO_AL_CONTROL_INFORMATIVO.HTML.EXE
NO_A_LA_MANIPULACION_INFORMATIVA.HTML.EXE
NO_A_LA_CENSURA_INFORMATIVA.TXT.EXE
NO_QUEREMOS_VUESTRA_LEY_INCONSTITUCIONAL.HTML.EXE
NO_QUEREMOS_VUESTRA_LEY_DISCRIMINATORIA.DOC.EXE
WWW.SENADO.LSSICE.ES.EXE
RG2CATDB.EXE
PRESENTACION.EXE
DOWNLOADIT.EXE
XSCREENSAVER.SCR
XXX.JPG.EXE
Busca
servidores web a través de la red. Si lo consigue, cambia su
página de inicio, que se encuentra en el directorio
INETPUB\WWWROOT.
Otros Detalles
Para que conozca un poco mejor a Lohack.C, a continuación le presentamos alguna de sus características: