VIDEO SOFT (Maldonado, Uruguay)- http://www.videosoft.net.uy
VSantivirus No. 103- A�o 4 - Jueves 4 de mayo de 2000.
_____________________________________________________________
Alerta: Virus LOVELETTER
_____________________________________________________________
Se ha estado propagando en las �ltimas horas (y de manera
bastante r�pida), un nuevo y peligroso gusano. Recomendamos
actualizar los antivirus a las �ltimas versiones y updates,
add-ons, etc. AVP, Panda, Mcafee, Sophos y F-Prot ya tienen
en sus bases de datos a este "worm", demostrando una vez m�s
la celeridad conque las empresas antivirus suelen actuar ante
casos como estos. Depende de usted tener al d�a sus antivirus,
para no dejarse sorprender por estas amenazas.
Este gusano se puede propagar a trav�s del correo electr�nico,
y tambi�n v�a IRC.
Puede recibirlo en un e-mail cuyo asunto sea: "ILOVEYOU" y en
el cuerpo del mensaje tenga este texto: "kindly check the
attached LOVELETTER coming from me..". Junto al mensaje,
existe un archivo adjunto llamado:
"LOVE-LETTER-FOR-YOU.TXT.VBS" (note que la extensi�n .VBS
puede estar oculta), de unos 10 Kb.
Una vez ejecutado, este gusano de VBScript modifica el
registro del sistema para extenderse cada vez que el sistema
se reinicie.
Es capaz de cambiar la p�gina de inicio del Internet Explorer
de modo de hacerlo apuntar a un sitio llamado: www.skyinet.net
(esta p�gina no est� activa). La pr�xima vez que el browser se
ejecute, intentar� bajar autom�ticamente y ejecutar un archivo
llamado "WIN-BUGSFIX.EXE", que contiene un Trojan capaz de
robar las contrase�as de su PC ("Barok").
Adem�s crea dos copias de s� mismo, nombr�ndolas como
"Win32.dll.vbs" y "MSKernel32.vbs" y coloc�ndolas en el
directorio de Windows. Cuando el virus est� activo, es capaz
de enviarse a si mismo a todos los contactos de la libreta de
direcciones del Outlook.
El gusano tambi�n se propaga usando el mIRC y modificando el
"SCRIPT.INI". Despu�s de conectarse a un servidor de IRC que
utiliza el mIRC, el gusano se env�a (una copia de si mismo) a
todos los usuarios en el canal actual (DCC).
Lo m�s peligroso (adem�s de la generaci�n de cientos de
mensajes), es que examina todas las unidades de disco duro
locales y en red, y borra todos los archivos con las
extensiones: .JPG, .JPEG, .MP3, .MP2, .VBS, .VBE, .JS, .JSE,
.CSS, .VSH, .WSH, .SCT, .HTA, .HST, reemplaz�ndolos con el
c�digo original (VBScript) del propio virus, perdi�ndose
definitivamente los archivos originales. De ese modo adem�s,
si el usuario del PC infectado, pincha sobre cualquiera de
estos archivos, ejecuta al propio virus nuevamente.
Es interesante hacer notar la forma en que se intenta ocultar
que el archivo enviado es un ejecutable (VBScript). Al ser su
extensi�n .TXT.VBS, si tenemos en las propiedades de Windows
(Inicio, Configuraci�n, Opciones de carpetas en Windows 98,
en cualquier men� Ver de Windows 95), en Opciones (u Opciones
de carpetas), Ver, marcada la opci�n "Ocultar extensiones
para los tipos de archivos conocidos" o similar, la extensi�n
.VBS quedar� oculta, y por lo tanto aparentar� ser un archivo
de texto: .TXT, haci�ndonos pensar tal vez en su inocencia.
Recomendamos DESMARCAR dicha opci�n, a los efectos de no caer
en estas trampas, y poder ver siempre la verdadera extensi�n
de un archivo.
Como siempre la mejor forma de protegerse, es no abrir ning�n
mensaje con el asunto: "ILOVEYOU", y mucho menos ejecutar
(abrir) el archivo adjunto "LOVE-LETTER-FOR-YOU.TXT.VBS"
Si lo ha hecho, deber� ejecutar un antivirus ACTUALIZADO (al
4/may/00). Podr� encontrar versiones de evaluaci�n y
actualizaciones en nuestro sitio: http://www.videosoft.net.uy
Es muy importante mantenerse al d�a en materia de antivirus.
Es posible que nuevas versiones de este virus surjan con
modificaciones que puedan hacerlo pasar desapercibido por
ciertos antivirus. Manteniendo la conducta de tener al d�a
sus antivirus, y de utilizar dos o tres para revisar todo
archivo nuevo, el riesgo disminuye enormemente.
_____________________________________________________________
----- Original Message -----
From: Ryflex <[EMAIL PROTECTED]>
To: <[EMAIL PROTECTED]>
Sent: Thursday, May 04, 2000 1:09 PM
Subject: [LUG.ro] Re: ILOVEYOU -Derivado
> Alguien me puede decir de que se trata este script que le ha llegado a
todo
> el personal de una compania y tambi�n a todas las cuentas de correo de
Aguas
> Provinciales? y si es peligroso correrlo.... ya que mucha ente ya lo hiso
> =)
> Desde ya muchas gracias!
> Saludos!
>
> Sebastian A. La Spina
> 2000 Rosario (Sta Fe)
> ARGENTINA
> Registered Linux User #147409
> ICQ #39715786
> correo -e : [EMAIL PROTECTED]
>
> ----- Original Message -----
> From: Hernan La Spina <[EMAIL PROTECTED]>
> To: <[EMAIL PROTECTED]>
> Sent: Thursday, May 04, 2000 11:36 AM
> Subject: ILOVEYOU -Derivado
>
>
> No pude abrir el archivo asociado (sabes de que se trata ?) .Voy para
all�.
>
