LoveLet-DO, sobre escribe archivos, cambia extensiones .MP3 y pantallas de Inicio y Cierre de Windows   

(c) Jorge Machado  Lima-Perú

Vbs/LoveLet-DO, LoveLet-DO@mm

LoveLet-DO es un gusano reportado el 12 Marzo del 2002, de propagación masiva a través de mensajes de correo electrónico con un texto aleatorio y archivo anexado, también aleatorio, con doble extensión, de las cuales solamente se visualiza únicamente la extensión .vbs. Al parecer de connotación política ya que uno de sus gráficos hace alusión al denominado Plan Colombia, de mucha vigencia en la actual coyuntura latinoamericana.

Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface), una vez que un sistema es infectado, LoveLet-DO se auto-envía a todos los buzones de la libreta de direcciones de MS Outlook, en un  mensaje de correo:

El asunto (subject) del mensaje también puede contener 5 letras aleatorias, así como el texto hasta 10 letras aleatorias, contenidas dentro de su código viral.

Este gusano es un Visual Basic Script y debido a esta característica, infecta los sistemas operativos Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000.

LoveLet-DO descarga los archivos MACROMEDIA32.ZIP, LINUX321.ZIP y LINUX322.ZIP a través del Internet Explorer. Sin embargo las extensiones .ZIP han sido renombradas, ya que la primera es un archivo con formato de texto y las 2 ultimas son gráficos BMP.

MACROMEDIA32.ZIP contiene el código del virus, el cual después de descargado es copiado a la carpeta C:\Windows con el nombre de IMPORTANT_NOTE.TXT y para asegurarse de ser ejecutado la próxima vez que se inicie Windows, el gusano modifica el registro de Windows.

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
plan colombia = important_note.txt

Luego copia los archivos LINUX321.ZIP y LINUX322.ZIP con los nombres de LOGOS.SYS y LOGOW.SYS, con el objeto de cambiar las pantallas de inicio y de cierre de Windows, debido a que en realidad son archivos .BMP, modificando los siguientes registros:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
LINUX32 = C:\Windows\System\LINUX32.vbs

[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
reload = C:\Windows\reload.vbs

LINUX32.VBS y RELOAD.VBS son copias del propio gusano.

        


El gusano también se auto-copia en la carpeta C:\Windows\System con un nombre aleatorio de 5 a 8 caracteres, con doble extensión .GIF.VBS o .JPG.VBS, que serán auto-enviados a todas los buzones de la Libretas de Direcciones de MS Outlook, pero donde solo se visualizará la extensión .vbs

El payload de LoveLet-DO consiste sobre-escribir su código viral en todos los archivos .VBS, .VBE, .JS, .JSE, .CSS, .WSH, .SCT, .HTA, .JPG y .JPEG que encuentre en el disco. También cambiará las extensiones JPG y JPEG por .VBS.

Cuando encuentra archivos .MP3 y .MP2, los oculta cambiando sus atributos. 

El gusano tiene programado mostrar el 17 de Septiembre la siguiente ventana:

PER ANTIVIRUS® versión 7.4 actualizado al 13 de Marzo del 2002, detecta y elimina eficientemente este gusano y sus variantes.                  

Ir al menú anterior

Regresar al Portal de PER SYSTEMS