Lop
PeligrosidadDañoPropagación

Efectos 

Lop produce los siguientes efectos:

• Únicamente afecta a ordenadores con sistema operativo Windows 2003/XP/2000/NT.
• Existen varias versiones de Lop. En la mayoría de los casos, instalan en Internet Explorer una barra de herramientas que permite realizar búsquedas.
• Muestra una gran cantidad de ventanas emergentes con contenidos publicitarios.
• Cambia la página de inicio de Internet Explorer, para mostrar la de la compañía que lo ha creado, en la cual distintas empresas anuncian sus productos:
  
  
• Crea accesos directos a diferentes páginas web, tanto en el Escritorio como en la carpeta Favoritos.
• Provoca un error y el cierre de la aplicación explorer.exe si el programa WinZip está instalado y el usuario intenta acceder al menú contextual de Lop.

Metodo de Infección 

Lop crea los siguientes archivos:

• Un archivo con nombre aleatorio y extensión EXE en el directorio APPLICATION DATA del usuario.
• Un archivo con otro nombre aleatorio y extensión EXE en el directorio Archivos de Programa.
• COMPUTERS, COOL STUFF, DATING, HOME, INTERNET, ONLINE GAMING, ONLINE PHARMACY, SHOPPING GIFTS, TRAVEL, ANTIVIRUS.URL, CASINO ONLINE.URL, COMPUTERS.URL, GAMES.URL, INSTANTMESSAGING.URL, INTERNET.URL, MOVIE.URL y WEB HOSTING.URL en la carpeta Favoritos. Estos archivos son accesos directos a diversas páginas web.
• BINGO.LNK, CARD GAMES.LNK, CASINO ONLINE.LNK, INTERNET.LNK, POKER.LNK, PRINTER CARTRIDGES.LNK, TRAVEL.LNK y WEBSITE HOSTING.LNK en el Escritorio de Windows. Estos archivos son accesos directos a diversas páginas web.

Lop crea las siguientes entradas en el Registro de Windows:

• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  %entrada1% = %ApplicationData%\ %usuario%\ %archivo1%.exe
  donde %entrada1% es el nombre aleatorio de la entrada, %ApplicationData% es el directorio APPLICATION DATA del usuario, que inicia sesión bajo el nombre %usuario%, y %archivo1% es el nombre aleatorio del archivo ejecutable creado por Lop.
  
  HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  %entrada2% = %ArchivosPrograma%\ %dir%\ %archivo2%.exe
  donde %entrada2% es otro nombre aleatorio de entrada, %ArchivosPrograma% es el directorio Archivos de Programa, %dir% es el nombre aleatorio de una subcarpeta y %archivo2% es el nombre variable del otro archivo ejecutable creado por Lop.
  Mediante estas entradas, Lop consigue ejecutarse cada vez que Windows se inicia.
  
• HKEY_CLASSES_ROOT\ CLSID\ {9B7436C7-D7E9-478A-5D10-F3A8E03B5B55}
• HKEY_CURRENT_USER\ Software\ %Random%
• HKEY_CURRENT_USER\ Software\ Classes\ CLSID\ {9B7436C7-D7E9-478A-5D10-F3A8E03B5B55}
• HKEY_CURRENT_USER\ Software\ %Random%
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ %Random%
• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Browser Helper Objects\ {4E7ED42A-A514-B9D8-9B26-E17880DF1234}
• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Browser Helper Objects\ {7657043B-CFFF-857A-FBC7-1D97745AC771}
• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Uninstall\ %Random%
• HKEY_CLASSES_ROOT\ CLSID\ {7657043B-CFFF-857A-FBC7-1D97745AC771}
• HKEY_CLASSES_ROOT\ CLSID\ {9B4F7AE3-9BCD-47B1-1134-F393E0001771}
• HKEY_CURRENT_USER\ Software\ Classes\ CLSID\ {9B4F7AE3-9BCD-47B1-1134-F393E0001771}
• HKEY_CLASSES_ROOT\ CLSID\ {4E7ED42A-A514-B9D8-9B26-E17880DF1234}
• HKEY_USERS\ S-1-5-21-*-500_Classes\ CLSID\ {9B4F7AE3-9BCD-47B1-1134-F393E0001771}
• HKEY_USERS\ S-1-5-21-*-500_Classes\ CLSID\ {9B7436C7-D7E9-478A-5D10-F3A8E03B5B55}

Lop modifica las siguientes entradas del Registro de Windows:

• HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main
  Start Page
• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Internet Explorer\ Search
  SearchAssistant
  Modificando estas entradas, Lop cambia la página de inicio de Internet Explorer, así como opciones de búsqueda por defecto.

Lop realiza el siguiente proceso:

• Llega al ordenador afectado en un archivo ejecutable con extensión EXE.
• Una vez que el archivo EXE es ejecutado, descarga desde Internet una librería de enlace dinámico.
• Esta librería se registrará a sí misma como un plugin para el navegador Internet Explorer.

Método de Propagación 

Originalmente, el adware es una fórmula de licencia para el uso de programas, en la cual se oferta el uso de una aplicación con el único coste de visualizar una serie de mensajes publicitarios. Sin embargo, en ocasiones, estos programas recogen información sobre los hábitos de uso de Internet, páginas visitadas, inventario de las aplicaciones instaladas en el equipo, etc.

Otros Detalles  

Lop está escrito en el lenguaje de programación Visual C++ v7.1. Este adware tiene un tamaño de aproximadamente 235520 Bytes cuando está comprimido mediante UPX, y de 791552 Bytes una vez descomprimido.