> Alerta: VBS.LoveLetter infecta miles de sistemas > > ------------------------------------------------ > > Un gusano escrito en Visual Basic Script está infectando a miles de > > ordenadores a través del correo electrónico y el IRC. Si recibe un > > mensaje con el asunto "ILOVEYOU" y el fichero adjunto > LOVE-LETTER-FOR-YOU.TXT.vbs, bórrelo directamente. Así mismo, los > > usuarios de IRC deberán tener precaución ya que el gusano también > > se propaga a través del cliente mIRC enviando vía DCC el fichero > > "LOVE-LETTER-FOR-YOU.HTM". > > > > El gusano llega en forma de mensaje, con el asunto "ILOVEYOU" y un > > archivo adjunto con el nombre de "LOVE-LETTER-FOR-YOU.TXT.vbs", > > aunque la extensión VBS (Visual Basic Script) puede permanecer > > oculta en las configuraciones por defecto de Windows, lo cual puede > > hacer pensar que se trate de un inocente archivo de texto. > > > > Cuando se abre el archivo infectado el gusano procede a infectar el > > sistema, y expandirse rápidamente enviándose a todos aquellos > > contactos que tengamos en la agenda del Outlook, incluidas las > > agendas globales corporativas. Es importante no ejecutar ningún > > archivo adjunto que venga con dicho mensaje y avisar de forma > > inmediata a los administradores de la red de la llegada de dicho > > email. > > > > Según las primeras líneas de código el gusano procede de Manila, > > Filipinas, y el autor se apoda "spyder": > > > > rem barok -loveletter(vbe) <i hate go to school> > > rem by: spyder / [EMAIL PROTECTED] / @GRAMMERSoft Group / > Manila,Philippines > > > > El virus crea las siguientes claves en el registro, que deberán ser > > borradas para evitar que el virus se ejecute de forma automática > > nada más iniciar el sistema: > > > > > HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel3 > 2 > > > HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\W > in > 32DLL > > > > También será necesario borrar los archivos: > > > > WIN32DLL.VBS > > ubicado en el directorio de Windows (por defecto \WINDOWS) > > > > MSKERNEL32.VBS > > LOVE-LETTER-FOR-YOU.VBS > > ubicados en el directorio de sistema (por defecto \WINDOWS\SYSTEM) > > > > El gusano modifica la página de inicio de Internet Explorer con una de > > las 4 direcciones, que elige según un número aleatorio, bajo el > > dominio http://www.skyinet.net. Estas direcciones apuntan al fichero > WIN-BUGSFIX.EXE, una vez descargado modifica el registro de Windows > > para que este ejecutable también sea lanzado en cada inicio del sistema > > y modifica de nuevo la configuración de Internet Explorer situando en > > esta ocasión una página en blanco como inicio. > > > > Si el gusano ha conseguido realizar el paso anterior también deberemos > > borrar el archivo: > > > > WIN-BUGSFIX.EXE > > ubicado en el directorio de descarga de Internet Explorer > > > > y la entrada del registro: > > > HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WIN-BUGSF > IX > > > > El gusano también detecta la presencia del programa mIRC, buscando > > algunos de los siguientes archivos: "mirc32.exe", "mlink32.exe", > > "mirc.ini" y "script.ini". En caso de que se encuentren en el sistema > > el gusano escribe en el mismo directorio su propio archivo SCRIPT.INI > > donde podemos encontrar, entre otras líneas, las siguientes > > instrucciones: > > > > n0=on 1:JOIN:#:{ > > n1= /if ( $nick == $me ) { halt } > > n2= /.dcc send $nick "&dirsystem&"\LOVE-LETTER-FOR-YOU.HTM > > n3=} > > > > Las cuales provocan que el gusano se autoenvíe vía DCC, a través del > > archivo LOVE-LETTER-FOR-YOU.HTM, a todos los usuarios de IRC que > > entren en el mismo canal de conversación donde se encuentre el > > usuario infectado. > > > > En este caso debemos de borrar los archivos: > > > > LOVE-LETTER-FOR-YOU.HTM > > ubicado en el directorio de sistema (por defecto \WINDOWS\SYSTEM) > > > > SCRIPT.INI (si contiene las instrucciones comentadas) > > ubicado en el directorio de mIRC > > > > El virus sobrescribe con su código los archivos con extensiones .VBS > > y .VBE. Elimina los archivos con extensiones .JS, .JSE, .CSS, .WSH, > > .SCT y .HTA, y crea otros con el mismo nombre y extensión .VBS en el > > que introduce su código. También localiza los archivos con extensión > > .JPG, .JPEG, .MP3 y .MP2, los elimina, y crea otros donde el nuevo > > nombre está formado por el nombre y la extensión anterior más VBS como > > nueva extensión real. > > > > Por último, recordar a todos nuestros lectores la posibilidad de que > > este mismo gusano pueda presentarse bajo otros nombres de fichero con > > tan sólo unas simples modificaciones en su código. Recordamos una vez > > más que no debemos abrir o ejecutar archivos no solicitados, aunque > > estos provengan de fuentes confiables. En caso de duda, cuando la > > fuente es confiable, siempre deberemos pedir confirmación al remitente > > para comprobar que el envío ha sido intencionado y no se trata de > > un gusano que se envía de forma automática. > > ------------- ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
* ULTIMA HORA SOBRE VBS/LoveLetter * ==================================== (http://www.kriptopolis.com/noticias/20000505.html) No conforme con intentar seducirnos con una falsa carta de amor y demostrarnos su alta capacidad de reproducción, este amante ficticio, llegado ayer mismo desde Oriente, amenaza ahora con devorar a las víctimas de sus encantamientos. Según ha comunicado a KRIPTOPOLIS la multinacional española antivirus Panda Software, el troyano WIN-BUGSFIX.EXE (que -como dijimos ayer- el gusano LoveLetter se baja de Internet, y que luego es renombrado a WINFAT32.EXE), ejerce una serie de acciones francamente preocupante cuando se ejecuta al arrancar de nuevo el ordenador. En concreto, el troyano intenta obtener la siguiente información de las cuentas RAS del sistema: * Nombre de cada usuario * Password * Número de teléfono (con código de país, área y teléfono) * Dirección IP * Servidor DNS primario y secundario * Servidor WINS primario y secundario Una vez conseguida esta información, la envía por e-mail a una dirección de Filipinas, concretamente a <[EMAIL PROTECTED]>. Otra de las características de este troyano es que no utiliza el Outlook o MAPI para enviar mensajes, sino que los envía utilizando directamente los sockets TCP/IP a través de SMTP. Según Panda Software, "se trata de un tema muy grave, ya que el autor del troyano puede acceder a todos los sistemas infectados a través de la información que le llega a esta cuenta de correo. Si el usuario infectado es el administrador de un sistema que tiene una conexión RAS para controlar el sistema desde su casa, el atacante tendría el control total del servidor. Además debilita la seguridad del sistema modificando las políticas del sistema y desactivando el cache de passwords". Panda Software también ha realizado una puntualización sobre la información suministrada por F-Secure que ayer recogimos en nuestro boletín. Según la empresa española, "en el caso de los ficheros MP2 y MP3 el gusano no borra los ficheros, sino que genera una copia de si mismo con el nombre del archivo encontrado y añade la extensión VBS al final (quedando mp3.vbs, mp2.vbs) y ocultando los ficheros originales. Por lo tanto, no borra los ficheros originales sino que los oculta." Como todos nuestros lectores están teniendo ocasión de comprobar, el tema VBS/LoveLetter ha trascendido el ámbito de la información especializada y está presente a todas horas en prensa, radio y televisión. La información suministrada por alguno de estos medios no siempre es precisa ni acertada, por no hablar de las disparatadas opiniones de algunos intentando demostrar, en base a este episodio, una supuesta extrema debilidad de Internet o abogando directamente por la implantación de cuerpos de seguridad especiales que velen por la bondad y pureza de cuanto circula por sus arterias. Confiamos en que el buen sentido acabe imponiéndose y todo el mundo aprenda de una vez la sencilla moraleja: no abrir jamás cualquier adjunto no solicitado, por inofensivo que pueda parecer. La necesidad de disponer de un antivirus actualizado vuelve también a hacerse evidente, por cuanto -a veces- ni siquiera es ya necesario abrir adjuntos. Tampoco insistiremos más ahora en las cuestiones de fondo, que atañen a cómo la facilidad de manejo de los programas y sistemas operativos más difundidos parece conllevar el precio de una seguridad permanentemente amenazada. MAS INFORMACION: http://www.kriptopolis.com/noticias/20000504b.html (español) http://www.cert.org/advisories/CA-2000-04.html http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=VBS_LOV LETTER http://europe.datafellows.com/v-descs/love.htm http://vil.mcafee.com/dispVirus.asp?virus_k=98617 http://www.sophos.com/virusinfo/analyses/vbsloveleta.html http://www.symantec.com/avcenter/venc/data/vbs.loveletter.a.html http://www.pspl.com/virus_info/worms/loveletter.htm http://www.zdnet.com/anchordesk/stories/story/0,10738,2561821,00.html http://www.wired.com/news/technology/0,1282,36119,00.html?tw=wn2000050 http://2.digital.cnet.com/cgi-bin2/flo?x=dAEuYAKAmhwKhYgug