W32/Lolol.A, I.worm.Lolol.A  

LOLOL es un gusano reportado el 10 de Diciembre del 2002, que se propaga masivamente entre los usuarios que comparten los archivos de la red Kazaa y cuya peligrosidad radica en contener un backdoor que toma el control de los equipos infectados a través de un canal IRC (Internet Chat Relay).

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000, incluyendo los servidores NT/2000. Ha sido desarrollado en Visual C++ con una extensión promedio de 60 KB. 

La red compartida P2P (peer to peer) Kazaa es muy famosa y popular, ya que permite descargar videos, música MP3, fotografías y archivos de grupos musicales e intérpretes, a miles de usuarios, en forma simultánea.  Para ello es necesario instalar en el sistema su software propietario, el mismo que abre en la computadora del usuario el puerto 1214, el cual permite acceder a los equipos.

Actualmente tanto Kazaa como Morpheus han sido denunciados por la Asociación de la Industria Discográfica Americana (RIAA), la Asociación Nacional de Editores Musicales de América y la Asociación de Cine Americana, ante un juzgado estadounidense y podrían terminar siendo acusados como Napster. 

Al infectar un sistema el gusano se auto-copia a la carpeta %System% con el nombre de syscfg32.exe y agrega este archivo a las siguientes llaves de registro para activarse en el siguiente reinicio del sistema:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
Configuration Loader = %System%\syscfg32.exe

[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
Configuration Loader = %System%\syscfg32.exe

Una vez ejecutado el gusano se auto-copia a las siguientes carpetas, con una variedad de nombres:

C:\Archivos de programa\kazaa\my shared folder\
C:\Archivos de programa\kazaa lite\my shared folder\
C:\My Downloads\

Las copias generadas con atractivos nombres de archivos, contienen además el Servidor del backdoor que se conectará vía Chat al backdoor Cliente que podrá tomar el control de los sistemas infectados: 

• play station emulator crack.exe
• play station emulator.exe
• warcraft 3 serials.pif
• warcraft 3 crack.exe
• 100 free essays school.pif
• aol password cracker.exe
• aim password cracker
• aol cracker.exe
• aim cracker.exe
• steal usernames.exe
• how to hack.exe
• divx pro.exe
• how to use a shell.pif
• Virtua Girl (Full).exe
• worldbook.exe
• GTA 3 Serial.exe
• GTA 3 Crack.exe
• gta3.exe
• driver.exe
• virtua girl - adriana.pif
• virtua girl - bailey short skirt.pif
• Etc. 

Para difundirse por el IRC (Internet Chat Relay) el gusano sobre-escribe el SCRIPT.INI del software mIRC con su código viral, en la carpetas C:\mIRC y C:\Archivos de programa\mIRC. Este archivo infectado busca un canal de Chat desde el cual, no solamente infectará a todos los usuarios que se conecten a una misma sesión, sino que además liberará su software backdoor de control remoto. 

Su payload es destructivo, pues al tomar control de los sistemas podrá ejecutar acciones, tales como:

• Extraer y enviar información del sistema al intruso.
• Descargar o enviar archivos de la computadora.
• Substraer o cambiar los password o archivos de passwords.
• Anular procesos en ejecución.
• Mostrar mensajes en la pantalla.
• Realizar acciones nocivas o dañinas: manipular el mouse, mostrar/ocultar la Barra de Tareas, abrir y cerrar la bandeja del CD, reiniciar la computadora, formatear el disco duro, etc., etc.

PER ANTIVIRUS® versión 7.8 con registro de virus al 10 de Diciembre del 2002 detecta y elimina eficientemente este gusano/backdoor.