VBS.Lubus@mm, I.worm.Lubus@MM, 

Lubus es un gusano reportado el 05 de Julio del 2002, de gran difusión masiva vía correo electrónico con un archivo anexado de nombre ANGEL1.PPT.vbs, que se propaga a través de la libreta de direcciones de MS Outlook y borra archivos del sistema. 

Ha sido desarrollado en el lenguaje Visual Basic Script, tiene 4.5 KB de extensión e infecta todos los sistemas operativos operativos Windows 95/98/NT/Me/2000, incluyendo los servidores NT/2000.

Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface), una vez que un sistema es infectado, el gusano se auto-envía a todos los buzones de la libreta de direcciones de MS Outlook, en un mensaje de correo del formato original, personalizando la dirección del destinatario: 

Al ejecutar el archivo infectado, el gusano busca el archivo MSWORD.Vbs en C:\Windows\System y si no lo encuentra copia los siguientes archivos en esa carpeta: 

MSWORD.Vbs 
THWIN.Vbs 
ANGEL1.PPT.Vbs 
LISTWIN.txt 
MSWORD.Vbs 

Para ejecutarse la próxima vez que se inicie el sistema agrega las siguientes llaves al registro: 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
THWIN "%System%\THWIN.vbs"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
THWIN "%System%\MSWORD.vbs"

%System% es la carpeta C:\Windows\System o C:\WINNT\System32.

El gusano se auto-copia además, usando el nombre de archivo UNSCH.DOC.VBS, en la unidad A:\ con el propósito de propagarse a través de diskettes. 

Lubus tiene un payload destructivo que consiste en borrar, en forma aleatoria, los archivos con las siguientes extensiones: 

XLS 
DOC 
WAV 
DWG 
MP3 
BAK 
BMP 
HTM 
HLP 
CHM 
JPG 
GIF 
SCR 
TTF 
MID 
CDR 
MDB 
DBF 
ICO

Después de la eliminación de estos archivos muestra un falso mensaje de error: 



PER ANTIVIRUS® versión 7.5 con registro de virus al 05 de Julio del 2002 detecta y elimina eficientemente este gusano.