|
LOVE LETTER (I LOVE YOU) gusano en Visual Basic Script
|
|
©
Jorge Machado Lima-Perú
|
|
El Viernes 4 de Mayo
del 2000, fue propagado a través de mensajes de correo, un
virus desarrollado en Visual Basic
Script, denominado LOVE LETTER, constituyéndose a las pocas horas en el más grande ataque viral de la
historia de la computación.
Ha causando daños en la
información de millones de computadoras en todo el mundo, con pérdidas cuantiosas de
dinero estimadas hasta la fecha en más de 7 billones de dólares, según la National
Security Agency, incluyendo ataques al Pentágono y a algunos sistemas secretos del
Ejército de los Estados Unidos.
Como trabaja "I LOVE YOU" |
| El gusano enviado por E-mail se autoinstala en 3 ubicaciones dentro
del directorio Windows y cambia la página de Inicio, por defecto, en Internet Explorer |
|
 |
|
|
|
| La próxima vez que se inicie el sistema, el gusano
ejecuta Internet Explorer y recoge (download) un archivo elegido en forma aleatoria entre
4 URLs |
|
 |
|
|
|
| El gusano se
autoenvía a toda la Libreta de
Direcciones de Correo de MS Outlook |
|
 |
|
|
|
| Inmediatamente
sobre escribe y agrega la extensión ". vbs" a todos los archivos con las
siguientes extensiones: |
|
|
|
|
|
| .vbs
.js .css .sct
.jpeg .mp3 |
|
|
| .vbe
.jse .vsh .hta
.jpg .mp2 |
|
|
|
|
|
| El gusano
modifica el Instant Relay Chat, e
infecta a todos los demás usuarios del IRC interconectados en ese lapso. |
|
 |
Al 5 de Mayo del pte. se reportaron
variantes con los asuntos Very Funny, Joke y Mother's Day, en los
nuevos mensajes.
Plataformas afectadas: Windows®95, Windows®98, Windows®2000 y Windows®NT. Sobre-escribe archivos, haciéndolos
irrecuperables y no tiene fecha de activación, ya que infecta inmediatamente después que
es ejecutado.
 |
|
La infección se produce a
través de mensajes de correo y el mIRC, con el asunto "I LOVEYOU"
y el archivo adjunto (attached) LOVE-LETTER-FOR-YOU.TXT.vbs. Se propaga a través del cliente mIRC, enviando vía DCC el archivo "LOVE-LETTER-FOR-YOU.HTM" a todos los usuarios conectados en la misma línea de Chat. |
La extensión VBS (Visual Basic Script) puede permanecer oculta en las configuraciones por
defecto de Windows, lo cual puede hacer pensar que se trata de un inocuo archivo de texto.
Cuando se abre el archivo infectado
, el gusano procede a infectar el sistema, y
expandirse rápidamente enviándose a todos aquellos contactos de la libreta de
direcciones del MS-Outlook del usuario, incluidas las agendas globales corporativas.
Esta especie viral procede de Manila, Filipinas, y su autor se autodenomina "Spyder", sin embargo no existen pruebas de que lo sea. Debido a que el servicio del ISP (Proveedor de
Servicios de Internet) fue usado por medio de tarjetas pre-pago, no existe forma de
identificar al dueño de las 2 cuentas desde las cuales fué enviado el gusano, y podría
haber sido hecho desde cualquier parte del mundo, haciendo uso de estas cuentas de correo.
| rem barok
-loveletter(vbe) <i hate go to school> |
| rem by: spyder /
ispyder@mail.com / @GRAMMERSoft Group / Manila,Philippines |
El virus crea las siguientes claves en el registro, que
deberán ser borradas para evitar que
el virus se ejecute en forma automática cuando se re-inicie el sistema:
| [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32] |
| [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL] |
También será necesario borrar los archivos:
| WIN32DLL.VBS, ubicado en el
directorio de Windows, por defecto \WINDOWS |
| WIN32DLL.VBS, ubicado en el
directorio de Windows, por defecto \WINDOWS |
| MSKERNEL32.VBS |
| LOVE-LETTER-FOR-YOU.VBS,
ubicado en el directorio de sistema, por defecto \WINDOWS\SYSTEM |
El gusano modifica la página de inicio de Internet
Explorer con una de 4 direcciones URL,
que elige aleatoriamente bajo el dominio http://www.skyinet.net. Estas direcciones apuntan al archivo WIN-BUGSFIX.EXE, que una vez descargado modifica el registro de Windows, para que
este programa también sea ejecutado en cada inicio del sistema y modifique nuevamente la
configuración de Internet Explorer, presentando en esta ocasión una página en blanco como inicio.
Si el gusano ha conseguido realizar el paso anterior
también
se debe borrar el archivo:
WIN-BUGSFIX.EXE, ubicado en el directorio de descarga de Internet
Explorer y la entrada del
registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WIN-BUGSFIX]
El gusano también detecta la presencia del programa mIRC,
buscando
algunos de los siguientes archivos: "mirc32.exe",
"mlink32.exe", "mirc.ini" y "script.ini". En caso de que se encuentren en el sistema,
el gusano escribe en el mismo directorio su propio archivo SCRIPT.INI, donde se encontrará, entre otras líneas, las siguientes instrucciones:
| n0=on 1:JOIN:#:{ |
| n1= /if ( $nick == $me ) {
halt } |
| n2= /.dcc send $nick
"&dirsystem&"\LOVE-LETTER-FOR-YOU.HTM |
| n3=} |
Estas líneas causan que el gusano se
autoenvíe vía DCC, a través del archivo LOVE-LETTER-FOR-YOU.HTM,
a todos los usuarios de mIRC que entren en el mismo canal de conversación donde se
encuentre el usuario infectado.
En este caso
se deben borrar los archivos:
| LOVE-LETTER-FOR-YOU.HTM, ubicado en el directorio de sistema, por defecto
\WINDOWS\SYSTEM |
| SCRIPT.INI (si contiene las instrucciones comentadas), ubicado en el directorio de mIRC |
El virus sobrescribe con su código los
archivos con extensiones .VBS y .VBE. Elimina los
archivos con extensiones .JS, .JSE, .CSS, .WSH, .SCT y .HTA, y crea otros con el mismo nombre y extensión .VBS en los que
introduce su código. También localiza los archivos con extensión .JPG, .JPEG, .MP3 y .MP2, los elimina, haciéndolos irrecuperables, y crea otros con un nuevo
nombre formado por el nombre y la extensión anterior, más .VBS, como la nueva extensión real.
Cabe mencionar que este mismo gusano
puede presentarse bajo otros nombres de archivo con tan sólo unas simples modificaciones
en su código. Es sumamente
fácil modificarlo y crear un sinnúmero de variantes.
El llamado "gusano del amor"
ha infectado millones de computadoras en todos los continentes, superando a los ataques
virales registrados a la fecha, incluyendo al del virus Melissa, el Viernes 26 de Marzo de 1999. Esto se debe a que no todos los software antivirus
desarrollaron la inmediata solución. Tenemos la gran satisfacción de informar, que el
mismo día 4 de Mayo, a las 11:30 AM colocamos en nuestra página web, a disposición de
los usuarios de la versión vigente de nuestro producto, las correspondientes rutinas de
detección y eliminación de este peligrosísimo virus.
El lunes 8 de Mayo el Philiphine National Bureau of Investigation
(NBI) arrestó al empleado bancario Reonel Ramones, de 27 años, quien vivía acompañado de su hermana y su novia Irene de Guzmán de 23, acusados de ser los autores del virus, el mismo que según
algunas primera evidencias, habría empezado como un conjunto de rutinas para penetrar en
otros sistemas, con el objeto de sustraer la información de tarjetas de crédito de
terceros.
Ramones y De Guzmán asistían al AMA
Computer College (AMACC) en Manila y el FBI de los Estados Unidos que también participa
en las investigaciones manifestó que por lo menos 8 personas más intervinieron en la
creación del primer gusano. A pesar de las supuestas evidencias, el Fiscal de la Corte de
Manila el Martes 9, ordenó la liberación del detenido Ramones, aduciendo "falta de
pruebas".
El 11 de Mayo Onel de Guzmán,
de 24 años, hermano de Irene de
Guzmán y ex-estudiante de AMACC,
acompañado de su abogado, ofreció una conferencia de prensa en Manila y manifestó que
él había desarrollado un proyecto de tesis, en el cual describía un programa similar al
destructivo virus y que era "posible" que alguien hubiese "mal utilizado su
trabajo". Las investigaciones prosiguen sin haberse realizado acusaciones formales.
ULTIMA VARIANTE: GUSANO FRIEND MESS
Al 10 de Mayo son 20 las variantes del
gusano del Amor, siendo la más temible
el FRIEND MESS, debido a que ha sido totalmente re-escrita y es
enviada con un archivo anexado llamado FRIEND_MESSAGE.TXT.vbs.
Si este archivo es ejecutado, activa al gusano
inmediatamente, el cual inserta comandos en el AUTOEXEC.BAT y cuando el sistema es
re-iniciado borra todos los archivos en el directorio de Windows, el Windows System y el
Windows Temp. Esto hará que Windows no pueda ejecutarse y debe ser reinstalado.
Mientras tanto, este nuevo gusano muestra un mensaje con el
siguiente texto:
| If you receive this message
remember forever: A precious friend in all the world like only you! So think that! |
| (Si tú recibes este mensaje
recuerda para siempre: A un precioso amigo en todo el mundo le gustas solamente tú!
Piensa en ello!) |
Después de ello, proceder a enviar mensajes de correo a la
Libreta de Direcciones de Microsoft Outlook del usuario
infectado y así continuará haciéndolo en cadena.
Tema del Mensaje: FRIEND MESSAGE
Cuerpo de Mensaje:
| A real friend send this
message to you. |
| (Un amigo verdadero te envía
este mensaje) |
VARIANTES DEL VIRUS I LOVE YOU: (al
10 de Mayo del 2000)
|
Versión |
Asunto
(subject) |
Archivo
anexado (attached) |
| 1 |
VBS.Loveletter.a |
ILOVEYOU |
LOVE-LETTER-FOR-YOU.TEXT.vbs |
| 2 |
VBS/Loveletter.b |
Susitikim shi vakara kavos puodukui... |
LOVE-LETTER-FOR-YOU.TEXT.vbs |
| 3 |
VBS/Loveletter.c |
FW: Joke |
"Very Funny.vbs","Very Funny.HTM" |
| 4 |
VBS/Loveletter.d |
ILOVEYOU |
LOVE-LETTER-FOR-YOU.TEXT.vbs |
| 5 |
VBS/Loveletter.e |
Mother's Day Order Confirmation |
Mothersday.vbs |
| 6 |
VBS/Loveletter.f |
Dangerous Virus Warning |
virus_warning.jpg.vbs |
| 7 |
VBS.Loveletter.G |
Virus ALERT!!! (from Symantec) |
protect.vbs |
| 8 |
VBS/Loveletter.h |
ILOVEYOU |
LOVE-LETTER-FOR-YOU.TEXT.vbs |
| 9 |
VBS/Loveletter.i |
Important ! Read Carefully !! |
IMPORTANT.TXT.vbs |
| 10 |
VBS/Loveletter.j |
How to protect yourself from the ILOVEYOU bug! |
Virus-Protection-Instructions.vbs |
| 11 |
VBS/Loveletter.k |
Thank You For Flying With Arab Airlines |
ArabAir.TXT.vbs |
| 12 |
VBS/Loveletter.l |
ILOVEYOU |
LOVE-LETTER-FOR-YOU.TEXT.vbs |
| 13 |
VBS/Loveletter.m |
Bewerbung Kreolina |
BEWERBUNG.TXT.vbs |
| 14 |
VBS/Loveletter.o |
ILOVEYOU |
LOVE-LETTER-FOR-YOU.TEXT.vbs |
| 15 |
VBS/Loveletter.p |
Variant Test |
IMPORTANT.TXT.vbs |
| 16 |
VBS/Loveletter.q |
Yeah, Yeah another time to DEATH… |
LOVE-LETTER-FOR-YOU.TEXT.vbs |
| 17 |
VBS/Loveletter.s |
PresenteUOL |
UOL.TXT.vbs |
| 18 |
VBS/Loveletter.s |
AVERT is analyzing... |
LOVE-LETTER-FOR-YOU.TEXT.vbs |
| 19 |
IRC/Loveletter |
ILOVEYOU |
LOVE-LETTER-FOR-YOU.TEXT.vbs |
| 20 |
VBS/FriendMess |
FRIEND MESSAGE |
FRIEND_MESSAGE.TXT.vbs |
Reiteramos nuestra recomendación de no
abrir, mucho menos leer, los mensajes de correo de origen desconocido o sospechoso, ni
ejecutar sus archivos anexados. Con toda seguridad, LOVE LETTER y
sus nuevas variantes seguirán difundiéndose, ya no desde Manila, Filipinas, sino desde cualquier
ciudad del mundo.
PER ANTIVIRUS® cuenta con una exclusiva
rutina heurística que detecta y elimina eficientemente el "gusano del amor", todas sus variantes existentes y aquellas
por crearse en el futuro.
