Hackers on the Web

    Se trata de un gusano escrito en Visual Basic Script que está infectando miles de ordenadores a través del correo electrónico y el IRC. Si recibes un mensaje con el asunto "ILOVEYOU" y el fichero adjunto LOVE-LETTER-FOR-YOU.TXT.vbs, bórralo inmediatamente. Así mismo, los usuarios de IRC deberán tener mucho cuidado ya que el gusano también se propaga a través del cliente mIRC enviando vía DCC el fichero "LOVE-LETTER-FOR-YOU.HTM".

Según las primeras líneas de código el gusano procede de Manila, Filipinas, y el autor se apoda "spyder":

rem barok -loveletter(vbe)
rem by: spyder / ispyder@mail.com / @GRAMMERSoft Group / Manila,Philippines

El virus crea las siguientes claves en el registro, que deberán ser borradas para evitar que el virus se ejecute de forma automática nada más iniciar el sistema:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
     CurrentVersion\Run\MSKernel32
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
     CurrentVersion\RunServices\Win32DLL

También será necesario borrar los archivos:

WIN32DLL.VBS
ubicado en el directorio de Windows (por defecto \WINDOWS)

MSKERNEL32.VBS
LOVE-LETTER-FOR-YOU.VBS
ubicados en el directorio de sistema (por defecto \WINDOWS\SYSTEM)

El gusano modifica la página de inicio de Internet Explorer con una de las 4 direcciones, que elige según un número aleatorio, bajo el dominio http://www.skyinet.net. Estas direcciones apuntan al fichero WIN-BUGSFIX.EXE, una vez descargado modifica el registro de Windows para que este ejecutable también sea lanzado en cada inicio del sistema y modifica de nuevo la configuración de Internet Explorer situando en esta ocasión una página en blanco como inicio.

Si el gusano ha conseguido realizar el paso anterior también deberemos borrar el archivo:

WIN-BUGSFIX.EXE
ubicado en el directorio de descarga de Internet Explorer

y la entrada del registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
        CurrentVersion\Run\WIN-BUGSFIX

El gusano también detecta la presencia del programa mIRC, buscando algunos de los siguientes archivos: "mirc32.exe", "mlink32.exe", "mirc.ini" y "script.ini". En caso de que se encuentren en el sistema, el gusano escribe en el mismo directorio su propio archivo SCRIPT.INI donde podemos encontrar, entre otras líneas, las siguientes instrucciones:

n0=on 1:JOIN:#:{
n1= /if ( $nick == $me ) { halt }
n2= /.dcc send $nick "&dirsystem&"\LOVE-LETTER-FOR-YOU.HTM
n3=}

Las cuales provocan que el gusano se autoenvíe vía DCC, a través del archivo LOVE-LETTER-FOR-YOU.HTM, a todos los usuarios de IRC que entren en el mismo canal de conversación donde se encuentre el usuario infectado.

En este caso debemos de borrar los archivos:

LOVE-LETTER-FOR-YOU.HTM
ubicado en el directorio de sistema (por defecto \WINDOWS\SYSTEM)

SCRIPT.INI (si contiene las instrucciones comentadas)
ubicado en el directorio de mIRC

El virus sobrescribe con su código los archivos con extensiones .VBS y .VBE. Elimina los archivos con extensiones .JS, .JSE, .CSS, .WSH, .SCT y .HTA, y crea otros con el mismo nombre y extensión .VBS en el que introduce su código. También localiza los archivos con extensión .JPG, .JPEG, .MP3 y .MP2, los elimina, y crea otros donde el nuevo nombre está formado por el nombre y la extensión anterior más VBS como nueva extensión real.

Por último, recordar que este mismo gusano pueda presentarse bajo otros nombres de fichero con tan sólo hacer unas ligeras modificaciones en su código. Recordar que no debemos abrir o ejecutar archivos no solicitados, aunque estos provengan de fuentes fiables. En caso de duda, cuando la fuente es fiable, siempre deberemos pedir confirmación al remitente para comprobar que el envío ha sido intencionado y no se trata de un gusano que se envía de forma automática.



	You need Java to see this applet.