W32/Lolol.B, I.worm.B.Lolol  

LOLOL.B es un gusano variante del Lolol.A, reportado el 05 de Enero del 2003, que se propaga masivamente entre los usuarios de la red Kazaa, con un archivo de nombre winsys.exe y cuya peligrosidad radica en contener un backdoor que toma el control de los equipos infectados a través de canales IRC (Internet Chat Relay).

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000, incluyendo los servidores NT/2000. Ha sido desarrollado en Visual C++ con una extensión promedio de 58 KB. 

La red compartida P2P (peer to peer) Kazaa es muy famosa y popular, ya que permite descargar videos, música MP3, fotografías y archivos de grupos musicales e intérpretes, a miles de usuarios, en forma simultánea.  Para ello es necesario instalar en el sistema su software propietario, el mismo que abre en la computadora del usuario el puerto 1214, el cual permite acceder a los equipos.

A fines del 2002 Kazaa, Morpheus y otras corporaciones que ofrecen archivos compartidos fueron denunciados por la Asociación de la Industria Discográfica Americana (RIAA), la Asociación Nacional de Editores Musicales de América y la Asociación de Cine Americana, ante un juzgado estadounidense y podrían terminar acusados y sentenciados como Napster. 

Al infectar un sistema el gusano se auto-copia a la carpeta %System% con el nombre de winsys.exe y agrega este archivo a las siguientes llaves de registro para activarse en el siguiente reinicio del sistema:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
Configuration Loader = %System%\winsys.exe

[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
Configuration Loader = %System%\winsys.exe

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP.

Una vez ejecutado el gusano se auto-copia a las siguientes carpetas, con una variedad de nombres:

C:\Archivos de programa\KaZaa\my shared folder\
C:\Archivos de programa\kaZaa lite\my shared folder\
C:\My Downloads\

Las copias generadas con atractivos nombres de archivos, contienen además el Servidor del backdoor que se conectará vía Chat al backdoor Cliente que podrá tomar el control de los sistemas infectados: 

• how to use a shell.pif
• Virtua Girl (Full).exe
• worldbook.exe
• HotGirls.exe
• Virtua Sex.exe
• fuck.exe
• GTA 3 Serial.exe
• GTA 3 Crack.exe
• gta3.exe
• driver.exe
• virtua girl - completely nude.pif
• virtua girl - bailey short skirt.pif
• virtua girl - adriana.pif
• virtua girl - ALL.pif
• virtua girl - bunny.pif
• virtua girl - Rebecca.pif
• virtua girl - jenn.pif
• virtua girl - courtney.pif
• virtua girl - mandy.pif
• virtua girl - hells angels.pif
• virtua girl - business woman.pif
• virtua girl - judith.pif
• virtua girl - wet and wild.pif
• virtua girl - vera.pif
• virtua girl - tennis girl.pif
• virtua girl - victoria.pif
• virtua girl - nikki.pif
• virtua girl - chole.pif
• virtua girl - melina black pepper.pif
• virtua girl - jammie williams.pif
• virtua girl - nikki taylor.pif
• virtual girl - completely nude.pif
• virtual girl - bailey short skirt.pif
• virtual girl - adriana.pif
• virtual girl - ALL.pif
• virtual girl - bunny.pif
• virtual girl - Rebecca.pif
• virtual girl - jenn.pif
• virtual girl - courtney.pif
• virtual girl - mandy.pif
• virtual girl - hells angels.pif
• virtual girl - business woman.pif
• virtual girl - judith.pif
• virtual girl - wet and wild.pif
• virtual girl - vera.pif
• virtual girl - tennis girl.pif
• virtual girl - victoria.pif
• virtual girl - nikki.pif
• virtual girl - chole.pif
• virtual girl - melina black pepper.pif
• virtual girl - jammie williams.pif
• virtual girl - nikki taylor.pif
• winxp.iso.pif
• super mario brothers.exe
• super mario bros.exe
• ut 2k3.pif
• ut 2k3.exe
• anarchist cookbook.pif
• NBA 2003 serials.epif
• NBA 2003 Crack.exe
• NBA 2003.exe
• play station emulator crack.exe
• play station emulator.exe
• warcraft 3 serials.pif
• warcraft 3 crack.exe
• 100 free essays school.pif
• aol password cracker.exe
• aim password cracker
• aol cracker.exe
• aim cracker.exe
• steal usernames.exe
• how to hack.exe
• divx pro.exe
• fireworks.exe
• fireworks serial.pif
• fireworks crack.exe
• porn screen saver.scr
• supra screen saver.scr
• hondra screen saver.scr
• pamela anderson screen saver.scr
• age of empires 2 cheats.exe
• age of empires 2.exe
• age of empires 2 help.exe
• age of empires 2 serial.pif
• age of empires 2 serials.pif
• age of empires 2 keygen.exe
• age of empires 2 crack.exe
• hotmail hack.exe

Para difundirse por el IRC (Internet Chat Relay) el gusano sobre-escribe el SCRIPT.INI del software mIRC con su código viral, en la carpetas C:\mIRC y C:\Archivos de programa\mIRC. Este archivo infectado busca un canal de Chat aleatorio desde el cual, no solamente infectará a todos los usuarios que se conecten a una misma sesión, sino que además liberará su software backdoor de control remoto. 

Sus payloads son destructivos:

• Infecta masivamente vía KaZaa y canales de Chat. 
• Extrae y envía información del sistema al intruso.
• Ordena al sistema infectado ejecutar un PING infinito y enviar paquetes de información a otras direcciones IP con el objeto de saturarlas.
• Substrae o cambia los password o archivos de passwords.
• Crea "clones" de canales de Chat determinados.
• Realiza acciones nocivas: manipular el mouse, mostrar/ocultar la Barra de Tareas, abrir y cerrar la bandeja del CD, reiniciar la computadora, formatear el disco duro, etc., etc.

PER ANTIVIRUS® versión 7.8 con registro de virus al 10 de Diciembre del 2002 detecta y elimina eficientemente este gusano/backdoor y sus variantes existentes y por crearse, gracias a una rutina heurística específica para esta familia de virus.