Re[2]: [escepticos] Sobre el virus I Love You

[José María Revidiego González <jomarego@...>]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Hola Ricardo(r.carrasco en teleline.es),

Contestación a un mensaje de Escépticos.
El jueves, 04 de mayo de 2000, a las 18:03:20, tú escribiste:

RCG> Parece que en España se han visto afectados la redacción de El
País, Telecinco,
RCG> la Asociación de Internautas (¿Por qué usa el Outlook esta
gente?, se esperaría
RCG> que unos expertos internautas ni siquiera usaran windows) y a
Panda Antivirus
RCG> (médico, curaté a tí mismo).

RCG> ¿Se sabe qué hace? (No, no he descifrado el código que has
enviado). Parece que
RCG> se transmite a todas las direcciones del address book, pero
aparte de eso, ¿qué
RCG> hace?

Esto me ha llegado de Kriptópolis (boletín 172):
===Cut===
El gusano llega a nuestro buzón de correo electrónico acompañando a
un mensaje de título ILOVEYOU. El mensaje trae un fichero adjunto de
apariencia inocente (parece puro texto) y que sólo nos muestra el
título LOVE-LETTER-FOR-YOU.TXT. En realidad, el fichero acaba con una
extensión mucho más peligrosa (.vbs), que nuestro programa de correo
no nos enseña. Una vez abierto se ejecuta y procede a:

1.) Copiarse al directorio de sistema de Windows, en la forma de dos
ficheros:

    MSKernel32.vbs
    LOVE-LETTER-FOR-YOU.TXT.vbs

2.) Copia al directorio de Windows el siguiente fichero:

    Win32DLL.vbs

3.) Se añade al registro para volver a ejecutarse cuando se arranque
el sistema. Las claves son:


HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run\MSKernel32

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunServices\Win32DLL

4.) Reemplaza la página de arranque de Internet Explorer por un
enlace al fichero ejecutable WIN-BUGSFIX.exe. Si este fichero se
descarga se añade también al registro, para ejecutarse en cada
rearranque.

5.) El gusano añade al directorio de sistema de Windows el fichero
LOVE-LETTER-FOR-YOU.HTM, que contiene el propio gusano y será enviado
a través de mIRC cada vez que el usuario entre en un canal de IRC (lo
que representa la segunda vía alternativa de infección).

6.) El gusano busca el programa de correo Outlook y se reenvía a TODA
la libreta de direcciones. El mensaje muestra los siguientes campos:

  Asunto: ILOVEYOU
  Cuerpo del mensaje: kindly check the attached LOVELETTER
  coming from me.
  Adjunto: LOVE-LETTER-FOR-YOU.TXT.vbs

7.) Por último, el gusano busca ficheros con ciertas extensiones y
los manipula y sobreescribe de la siguiente forma:

  * Extensiones VBS y VBE -> son reescritos.

  * Extensiones JS, JSE, CSS, WSH, SCT y HTA -> Crea nuevos ficheros
de igual nombre y extensión VBS. Los originales son borrados.

  * Extensiones JPG, JPEG, MP2 y MP3 -> Crea nuevos ficheros con
extensión VBS añadida a la original y borra los ficheros originales.


VBS/LoveLetter ha aparecido hoy mismo (4-5-2000) y parece (o simula)
provenir de Filipinas, pues sus primeras líneas de código dicen:

  rem barok -loveletter(vbe) <i hate go to school>
  rem by: spyder / ispyder en mail.com /  en GRAMMERSoft Group /
Manila,Philippines


CONSEJOS:

* Eliminar sin abrir cualquier mensaje que muestre las
características comentadas.

* Actualizar su antivirus.


AGRADECIMIENTO:

 Esta información ha sido elaborada gracias a la colaboración de
F-Secure Corporation (http://www.F-Secure.com/).


MAS INFORMACION:
 http://www.f-secure.com/v-descs/love.htm

 ===End===

Salu2, José                            Correo a: jomarego en wanadoo.es

... Que haya un cadáver más ¿qué importa al mundo?

-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5i

iQA/AwUBORHotwWKJceb5A1BEQLaKACfeICGiudLnhiqK7JhkLBXmHZbN1wAn28b
dQWi+BUXuHLuoG1YQp0lWLku
=14AB
-----END PGP SIGNATURE-----