Asociación de Internautas

   Noticias - 04/Mayo/00

Un gusano escrito en Visual Basic Script está infectando a miles de ordenadores a través del correo electrónico y el IRC. Si recibe un mensaje con el asunto "ILOVEYOU" y el fichero adjunto LOVE-LETTER-FOR-YOU.TXT.vbs, bórrelo directamente. Así mismo, los usuarios de IRC deberán tener precaución ya que el gusano también se propaga a través del cliente mIRC enviando vía DCC el fichero "LOVE-LETTER-FOR-YOU.HTM".

El gusano llega en forma de mensaje, con el asunto "ILOVEYOU" y un archivo adjunto con el nombre de "LOVE-LETTER-FOR-YOU.TXT.vbs", aunque la extensión VBS (Visual Basic Script) puede permanecer oculta en las configuraciones por defecto de Windows, lo cual puede hacer pensar que se trate de un inocente archivo de texto.

Cuando se abre el archivo infectado el gusano procede a infectar el sistema, y expandirse rápidamente enviándose a todos aquellos contactos que tengamos en la agenda del Outlook, incluidas las agendas globales corporativas. Es importante no ejecutar ningún archivo adjunto que venga con dicho mensaje y avisar de forma inmediata a los administradores de la red de la llegada de dicho email.

Según las primeras líneas de código el gusano procede de Manila, Filipinas, y el autor se apoda "spyder":

rem barok -loveletter(vbe) <i hate go to school> rem by: spyder / ispyder@mail.com / @GRAMMERSoft Group / Manila,Philippines

El virus crea las siguientes claves en el registro, que deberán ser borradas para evitar que el virus se ejecute de forma automática nada más iniciar el sistema:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL

También será necesario borrar los archivos:

WIN32DLL.VBS ubicado en el directorio de Windows (por defecto \WINDOWS)

MSKERNEL32.VBS LOVE-LETTER-FOR-YOU.VBS ubicados en el directorio de sistema (por defecto \WINDOWS\SYSTEM)

El gusano modifica la página de inicio de Internet Explorer con una de las 4 direcciones, que elige según un número aleatorio, bajo el dominio http://www.skyinet.net. Estas direcciones apuntan al fichero WIN-BUGSFIX.EXE, una vez descargado modifica el registro de Windows para que este ejecutable también sea lanzado en cada inicio del sistema y modifica de nuevo la configuración de Internet Explorer situando en esta ocasión una página en blanco como inicio.

Si el gusano ha conseguido realizar el paso anterior también deberemos borrar el archivo:

WIN-BUGSFIX.EXE ubicado en el directorio de descarga de Internet Explorer

y la entrada del registro: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WIN-BUGSFIX

El gusano también detecta la presencia del programa mIRC, buscando algunos de los siguientes archivos: "mirc32.exe", "mlink32.exe", "mirc.ini" y "script.ini". En caso de que se encuentren en el sistema el gusano escribe en el mismo directorio su propio archivo SCRIPT.INI donde podemos encontrar, entre otras líneas, las siguientes instrucciones:

n0=on 1:JOIN:#:{ n1= /if ( $nick == $me ) { halt } n2= /.dcc send $nick "&dirsystem&"\LOVE-LETTER-FOR-YOU.HTM n3=}

Las cuales provocan que el gusano se autoenvíe vía DCC, a través del archivo LOVE-LETTER-FOR-YOU.HTM, a todos los usuarios de IRC que entren en el mismo canal de conversación donde se encuentre el usuario infectado.

En este caso debemos de borrar los archivos:

LOVE-LETTER-FOR-YOU.HTM ubicado en el directorio de sistema (por defecto \WINDOWS\SYSTEM)

SCRIPT.INI (si contiene las instrucciones comentadas) ubicado en el directorio de mIRC

El virus sobrescribe con su código los archivos con extensiones .VBS y .VBE. Elimina los archivos con extensiones .JS, .JSE, .CSS, .WSH, .SCT y .HTA, y crea otros con el mismo nombre y extensión .VBS en el que introduce su código. También localiza los archivos con extensión .JPG, .JPEG, .MP3 y .MP2, los elimina, y crea otros donde el nuevo nombre está formado por el nombre y la extensión anterior más VBS como nueva extensión real.

Por último, recordar a todos nuestros lectores la posibilidad de que este mismo gusano pueda presentarse bajo otros nombres de fichero con tan sólo unas simples modificaciones en su código. Recordamos una vez más que no debemos abrir o ejecutar archivos no solicitados, aunque estos provengan de fuentes confiables. En caso de duda, cuando la fuente es confiable, siempre deberemos pedir confirmación al remitente para comprobar que el envío ha sido intencionado y no se trata de un gusano que se envía de forma automática.

REPRODUCIDO DE UNA AL DIA (SERVICIO DE HISPASEC)