|
|
| Nombre: |
VBS/LoveLetter.A |
| Tipo: | Gusano E-mail, mIRC |
| Tamaño: | 10 Kb aprox. |
| Origen: | Internet (Manila, Filipinas) |
| Destructivo: | SI |
| En la calle (in the wild): | Muy reportado!!! |
| Eliminación | The Hacker 4.8 al 04/05/2000 |
Descripción
VBS/LoveLetter.A es un gusano dañino que se propaga por Internet a través del e-mail y mIRC, a solo unas horas de su primer reporte (4 Mayo, 3:45am), el gusano ha infectado miles de computadoras en todo el mundo.
VBS/LoveLetter.A llega en un mensaje de e-mail de algún conocido suyo con asunto "ILOVEYOU" y archivo adjunto LOVE-LETTER-FOR-YOU.TXT.vbs, al abrir el archivo adjunto el gusano se enviará por e-mail automáticamente a todos los usuarios de la libreta de direcciones del OutLook.
Variantes del gusano pueden diferir en el asunto, cuerpo del e-mail o nombre del archivo adjunto, incluso algunas aparentan ser "curas" para el gusano, toda la información acerca de las variantes en la sección variantes.
VBS/LoveLetter.A es DAÑINO, sobreescribe y borra archivos con extensión .VBS, VBE, .JS, .JSE, .CSS, .WSH, .SCT, .HTA, JPG, JPEG, además oculta archivos con extensión .MP2, MP3 (ver detalles más adelante en la descripción del gusano).
Imagen de un mensaje con el gusano:
INSTALACION DEL GUSANO
Caracteristicas del mensaje de email:
Asunto: ILOVEYOU
Cuerpo del mensaje: kindly check the attached LOVELETTER coming from me..
Archivo Adjunto: LOVE-LETTER-FOR-YOU.TXT.vbs
------------------------------------------------------------------------------------------
Si el usuario abre el archivo adjunto (LOVE-LETTER-FOR-YOU.TXT.vbs), el gusano se copia a los siguientes directorios:
\windows\system -> MSKernel32.vbs
\windows -> Win32DLL.vbs
\windows\system -> LOVE-LETTER-FOR-YOU.TXT.vbs
Después de esto modifica el registro de Windows para ejecutarse automáticamente en cada inicio del sistema (archivos MSKernel32.vbs y Win32DLL.vbs):
Registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"MSKernel32" = "{\windows}\systemMSKernel32.vbs"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
"Win32DLL" = "{\windows}\Win32DLL.vbs"
MAILS EN MASA:
El siguiente paso del gusano es enviarse por e-mail a todos los usuarios de
la libreta de direcciones del OutLook. El gusano genera múltiples mensajes
del tipo:
Asunto: ILOVEYOU
Cuerpo del mensaje: kindly check the attached LOVELETTER coming from
me..
Archivo Adjunto: LOVE-LETTER-FOR-YOU.TXT.vbs
---------------------------------------------------------------------------------------
EFECTO DAÑINO:
VBS/LoveLetter.A es dañino, como paso final realiza su acción destructiva en los archivos que tengan la siguiente extensión:
.VBS, VBE
- Sobreescribe estos archivos a 10Kb con el código del gusano.
.JS, .JSE, .CSS, .WSH, .SCT, .HTA, JPG, JPEG
- Sobreescibe estos archivos con el código del gusano y los borra haciéndolos
irrecuperables.
- Crea un nuevo archivo con el nombre y extensión del archivo original
más ".VBS" de 10Kb con el código del gusano (Ej. grafico.jpg.vbs).
.MP3, .MP2
- Oculta estos archivos (MP3 / MP2 )
- Crea un nuevo archivo con el nombre y extensión del archivo original
más ".VBS" de 10Kb con el código del gusano (Ej. cancion.mp3.vbs)..
OTROS:
- El gusano modifica la página de inicio de Internet Explorer para que
apunte a una página del servidor "www.skyinet.net" que contiene
un archivo espía ó backdoor "WIN-BUGSFIX.exe". Si el
archivo WIN-BUGSFIX.exe es ejecutado envía todas las contraseñas
(passwords) de windows y el acceso telefónico a redes (RAS) a una dirección
e-mail en Filipinas (MAILME@SUPER.NET.PH).
Hay que indicar que la página en "www.skyinet.net" ha sido
cancelada por el webmaster (04/04/2000, 10:00am).
- El gusano tambien se propaga por mIRC a través del archivo LOVE-LETTER-FOR-YOU.TXT.HTM, el gusano se envia en forma automática a todos los usuarios que se encuentren en el mismo canal de conversación del usuario infectado.
ELIMINACION DEL GUSANO:
Para eliminar el gusano utilice The Hacker 4.8 con registro de virus al 04/05/2000.
Adicionalmente si desea puede borrar las siguientes claves en el registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"MSKernel32" = "{\windows}\systemMSKernel32.vbs"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
"Win32DLL" = "{\windows}\Win32DLL.vbs"-
HKCU\Software\Microsoft\Internet Explorer\Main\Start
Page
"http://www.skyinet.net/~young1s/............../WIN-BUGSFIX.exe"
VARIANTES:
Al momento de escribir esta información (09/05/2000, 4:38am) Hacksoft
ha recibido 18 variantes de este virus (.A - .R), muchas de ellas aparentan
ser "curas" para el gusano, no se deje sorprender y no abra ningún
archivo adjunto no solicitado aún si la fuente es conocida. The
Hacker 4.8 con registro de virus al 09/05/2000 detecta y elimina
todas estas variantes.
Variante : A, .D, .I(corrupta) , .M, .P(test en unix)
Asunto: ILOVEYOU
Archivo: LOVE-LETTER-FOR-YOU.TXT.vbs
Cuerpo: kindly check the attached LOVELETTER coming from me.
Variante : .B
Asunto: Susitikim shi vakara kavos puodukui...
Archivo: LOVE-LETTER-FOR-YOU.TXT.vbs
Cuerpo: kindly check the attached LOVELETTER coming from me.
Variante : .C
Asunto: fwd: Joke
Archivo: Very Funny.vbs
Cuerpo: <blanco>
Variante : .E (borra .ini y .bat)
Asunto: Mothers Day Order Confirmation
Archivo: mothersday.vbs
Cuerpo:
We have proceeded to charge your credit card for the amount of $326.92 for the
mothers day diamond special. We have attached a detailed invoice to this email.
Please print out the attachment and keep it in a safe place.Thanks Again and
Have a Happy Mothers Day! mothersday@subdimension.com
Variante : .F
Asunto: Important ! Read carefully !!
Archivo: IMPORTANT.TXT.vbs
Cuerpo: Check the attached IMPORTANT coming from me !
Variante : .G (borra .com y .bat)
Asunto: Virus ALERT!!!
Archivo: protect.vbs
Cuerpo:
Dear Symantec customer,
Symantec's AntiVirus Research Center began receiving reports regarding VBS.LoveLetter.A
virus early morning on May 4, 2000 GMT. This worm appears to originate from
the Asia Pacific region. Distribution of the virus is widespread and hundreds
of thousands of machines are reported infected. The VBS.LoveLetter.A is an Internet
worm that uses Microsoft Outlook to e-mail itself as an attachment. The subject
line of the e-mail reads ILOVEYOU, with the attachment titled LOVE-LETTER-FOR-YOU.TXT.VBS.
Once the attachment is opened, the virus replicates and sends an e-mail to all
e-mail addresses listed in the address book. The virus also spreads itself via
Internet relay chat and infects files on local and remote drives including files
with extensions vbs, vbe, js, sje, css, wsh, sct, hta, jpg, jpeg, mp3, mp2.
Users should exercise caution when opening e-mails with this subject line, even
if the e-mail is from someone they know, as that is how the virus is spread.
Symantec Corp. today announced availability of the virus definition to detect,
repair and protect users against the VBS.LoveLetter.A virus. This definition
is available now via Symantec's LiveUpdate and can also be downloaded from the
following web sites:
http://www.symantecstore.com/AF74211/promo/loveletter
http://www.digitalriver.com/symantec
Also as a quick solution Symantec Corp. offers Visual Basic Script to protect
your PC against this worm. (See attached.)
Note! When executed, this script will protect Your PC from being INFECTED by
VBS.LoveLetter.A virus. To cure already infected PC's download Norton Antivirus
Updates mentioned above. Symantec Corporation - a world leader in internet security
technology.
Variante : .H ( borra .wav, .txt, .gif, .doc, .htm, .html, .xls)
Asunto: Dangerous Virus Warning
Archivo: virus_warning.jpg.vbs
Cuerpo:
There is a dangerous virus circulating. Please click attached picture to view
it and learn to avoid it.
Variante : .J (oculta .sys, .dll, borra .exe y .dll)
Asunto: Thank You For Flying With Arab Airlines
Archivo: virus_warning.jpg.vbs
Cuerpo: Please check if the bill is correct, by opening the attached
file.
Variante : .K
Asunto: How to protect yourself from the IL0VEY0U bug!
Archivo: Virus-Protection-Instructions.vbs
Cuerpo: Here's the easy way to fix the love virus
Variante : .L
Asunto: Yeah, Yeah another time to DEATH...
Archivo: Vir-Killer.vbs
Cuerpo: This is the Killer for VBS.LOVE-LETTER.WORM.
Variante : .N (borra .mpeg, .avi)
Asunto: Variant Test
Archivo: IMPORTANT.TXT.vbs
Cuerpo: This is a variant to the vbs virus.
Variante : .Q (borra .xls, .mdb y oculta .lnk, .exe)
Asunto: LOOK!
Archivo: LOOK.vbs
Cuerpo: hehe...check this out.
Variante : .R (oculta .exe, .com, .ini)
Asunto: PresenteUOL
Archivo: UOL.TXT.vbs
Cuerpo:
O UOL tem um grande presente para voce, e eh exclusivo.
Veja o arquivo em anexo.
http://www.uol.com.br
Derechos reservados 1992/2001 HackSoft S.R.L. Lima-Perú