Panda Software ha informado sobre el nuevo gusano Lentin (W32/Lentin.E), diseñado para propagarse a través del correo electrónico. Como dato a destacar, tiene, al igual que otros códigos maliciosos como Klez.I o Badtrans.B, la capacidad de autoejecutarse simplemente con la vista previa del mensaje de correo electrónico en el que llega incluido, debido a una conocida vulnerabilidad de las versiones 5.01 y 5.5 del navegador Microsoft Internet Explorer.Lentin llega incluido en un archivo adjunto a un mensaje de correo electrónico con asunto y cuerpo variable. Dicho fichero tiene un nombre aleatorio, pudiendo ser, entre otros, loveletter, resume, biodata, dailyreport, mountan, goldfish, weeklyreport, report, o love.
Además, el archivo tiene dos extensiones, pudiendo ser la primera de ellas «.doc», «.mp3», «.xls», «.wav», «.txt», «.jpg», «.gif», «.dat», «.bmp», «.htm», «.mpg», «.mdb», «.zip» o «.scr», y la segunda, «.pif», «.bat», o «.scr».
Cuando el fichero es ejecutado, bien de forma automática debido a la mencionada vulnerabilidad de Internet Explorer o porque el usuario hace doble click sobre el archivo, Lentin se reenvía a todas las entradas de la libreta de direcciones de Windows y, en caso de encontrarse instalados en el equipo, también se envía a través de MSN Messenger y de la aplicación de chat ICQ.
Además, el gusano crea varios ficheros en el equipo. Uno de ellos tiene nombre variable y extensión «.txt», siendo su contenido:
iNDian sNakes pResents yAha.E
iNDian hACkers,Vxers c0me & w0Rk wITh uS & fUCk tHE GFORCE-pAK shites
bY
sNAkeeYes,c0Bra
Adicionalmente, Lentin añade una entrada al registro de Windows con el fin de asegurar su presencia en el ordenador afectado.
Panda Software ya ha puesto a disposición de los usuarios la correspondiente actualización de sus antivirus para la detección y eliminación de Lentin, que puede ser descargada desde Panda Software. Además, ha publicado información técnica detallada en la Enciclopedia de Virus de Panda Software, en la dirección Lentin.
Nombre: W32/Lentin.E
Alias: W32/Yaha.E
Categorías del virus: GUSANO
¿Reparable?: Si
Fecha de aparición: 18/06/2002
Tamaño: 28 Kbytes
Incluido en lista «In The Wild»: No
Descripción breve: W32/Lentin.E es un gusano que llega como un fichero incluido en un mensaje de correo electrónico. Se activa automáticamente con tan solo visualizar el mensaje a través de la Vista previa de Outlook, o bien al abrirlo.
Para ello, aprovecha una vulnerabilidad de Internet Explorer 5.01 y 5.5 (Exploit/iFrame) que permite la ejecución automática de los ficheros incluidos en los mensajes de correo.
W32/Lentin.E ha sido diseñado para finalizar numerosos procesos en los ordenadores afectados. Está programado en Visual C++ y tiene un tamaño aproximado de 28 Kbytes.