El 18 de Mayo del 2000 se reportó un nuevo letal virus denominado I-Worm.NewLove (Yo-Gusano.NuevoAmor), el mismo que es transmitido a través de mensajes de correo electrónico, via Microsoft Outlook.

Este virus, que aparentemente no está relacionado con el gusano ILOVEYOU, guarda una similitud con su predecesor, ya que es transmitido como un archivo .vbs. Su técnica de programación es POLIMÓRFICA, ya que es capaz de cambiar su nombre cada vez que se esparce. Al activarse, el virus envía copias de sí mismo, nombradas después de los más recientes documentos usados en la infección, para auto-enviarse a la Libreta de Direcciones de MS Outlook.

Su gravísimo efecto consiste en borrar todos los archivos y programas del disco afectado, incluyendo los sistemas operativos Windows 95/98/2000/NT, cualquiera fuese el caso, tanto en equipos individuales o en las estaciones de trabajo y servidores de Redes, que se encuentren conectados cuando se produce el contagio.     

El mensaje de este virus no contiene ningún texto, tan solo una línea del asunto "FW:" y un nombre de archivo anexado, coincidente. Su habilidosa técnica de programación, elige en forma aleatoria, el nombre de un archivo recientemente abierto por la víctima en la carpeta de Documentos del menú de Inicio de Windows. Este hecho "truculento" puede provocar que un usuario infectado envíe a otro, un archivo anexado cuyo nombre pueda parecer familiar, tal como "FormatoRevision.vbs" o "ReportedeGastos.vbs", por ejemplo. 

El mensaje de este virus tiene como asunto "FW:" y es completado con un texto de 30 caracteres, con extensiones en forma aleatoria, tales como Doc, Xls, Mdb, Bmp, Mp3, Txt, Jpg, Gif, Mov, Url, Htm, o Txt. También cambia el nombre del archivo anexado con la misma extensión. Para ser infectado, el usuario deberá hacer doble click en el archivo, el mismo que incrementa su longitud, cada vez que se esparce. Asimismo inserta comentarios aleatorios separados de espacios en blanco entre cada línea del código real. Los comentarios son escritos en mayúscula de la A a la Z.

La primera medida preventiva, si no se cuenta con un antivirus que detecte y elimine este virus, consiste en "filtrar" todos los mensajes que contengan el asunto FW:, y la segunda es deshabilitar el Windows Scripting Host. Tampoco se deberán abrir los mensajes con anexados que contengan un archivo con extensión .vbs.

Variante NewLove.A

Al igual que I-Worm.NewLove se propaga en mensajes de Microsoft Outlook y se muestra de la siguiente forma:

From:     nombre-del-usuario-infectado
To:        nombre-aleatorio-de-la-libreta-de-direcciones
Subject: FW: (nombre_de_archivo_aleatorio.ext)
Body:
Attachment: (nombre_de_archivo_aleatorio.ext).vbs

El gusano se auto-copia en un archivo anexado con la extensión .vbs. Por ejemplo "REPORTE.DOC.vbs" o "Informe de Reunion.txt.vbs". VBS/NewLove toma en forma aleatoria el nombre de los archivos recientemente abiertos de un directorio. Si no existen archivos en ese directorio, simplemente generará un nombre al azar.

Si el archivo anexado es abierto con el NotePad se podrá ver el código del virus:

Luego el gusano se auto-envía a cada una de los buzones de correo de la Libreta de Direcciones de MS Outlook, al igual que el VBS/LoveLetter.

El VBS/NewLove.A se auto-copia a los directorios de Windows System y Windows, con un nombre aleatorio y se agrega a sí mismo al registro de Windows con una llave al azar, a las siguientes líneas del registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion]

A continuación el gusano recorrerá todas las unidades de disco y todos sus sub-directorios. Por cada archivo, creará uno nuevo, usando el mismo nombre con la extensión adicional ".vbs" y borrará el archivo original. Después de ello, el equipo quedará imposibilitado de ser re-iniciado y deberá ser re-formateado y vuelto a instalar su sistema operativo, programas y archivos.

Reiteramos nuestra recomendación de no abrir, mucho menos leer, los mensajes de correo de origen desconocido o sospechoso, ni ejecutar sus archivos anexados (attached), ya que al igual que LOVE LETTER, este nuevo virus y sus variantes seguirán difundiéndose. 

PER ANTIVIRUS® cuenta con una exclusiva rutina heurística que detecta y elimina eficientemente este virus polimórfico y sus variantes.