yo también iloveyou(Aclaración)
> Alerta: VBS.LoveLetter infecta miles de sistemas
> > ------------------------------------------------
> > Un gusano escrito en Visual Basic Script está infectando a miles de
> > ordenadores a través del correo electrónico y el IRC. Si recibe un
> > mensaje con el asunto "ILOVEYOU" y el fichero adjunto
> LOVE-LETTER-FOR-YOU.TXT.vbs, bórrelo directamente. Así mismo, los
> > usuarios de IRC deberán tener precaución ya que el gusano también
> > se propaga a través del cliente mIRC enviando vía DCC el fichero
> > "LOVE-LETTER-FOR-YOU.HTM".
> >
> > El gusano llega en forma de mensaje, con el asunto "ILOVEYOU" y un
> > archivo adjunto con el nombre de "LOVE-LETTER-FOR-YOU.TXT.vbs",
> > aunque la extensión VBS (Visual Basic Script) puede permanecer
> > oculta en las configuraciones por defecto de Windows, lo cual puede
> > hacer pensar que se trate de un inocente archivo de texto.
> >
> > Cuando se abre el archivo infectado el gusano procede a infectar el
> > sistema, y expandirse rápidamente enviándose a todos aquellos
> > contactos que tengamos en la agenda del Outlook, incluidas las
> > agendas globales corporativas. Es importante no ejecutar ningún
> > archivo adjunto que venga con dicho mensaje y avisar de forma
> > inmediata a los administradores de la red de la llegada de dicho
> > email.
> >
> > Según las primeras líneas de código el gusano procede de Manila,
> > Filipinas, y el autor se apoda "spyder":
> >
> > rem barok -loveletter(vbe) <i hate go to school>
> > rem by: spyder / ispyder@mail.com / @GRAMMERSoft Group /
> Manila,Philippines
> >
> > El virus crea las siguientes claves en el registro, que deberán ser
> > borradas para evitar que el virus se ejecute de forma automática
> > nada más iniciar el sistema:
> >
> >
> HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel3
> 2
> >
> HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\W
> in
> 32DLL
> >
> > También será necesario borrar los archivos:
> >
> > WIN32DLL.VBS
> > ubicado en el directorio de Windows (por defecto \WINDOWS)
> >
> > MSKERNEL32.VBS
> > LOVE-LETTER-FOR-YOU.VBS
> > ubicados en el directorio de sistema (por defecto \WINDOWS\SYSTEM)
> >
> > El gusano modifica la página de inicio de Internet Explorer con una de
> > las 4 direcciones, que elige según un número aleatorio, bajo el
> > dominio http://www.skyinet.net. Estas direcciones apuntan al fichero
> WIN-BUGSFIX.EXE, una vez descargado modifica el registro de Windows
> > para que este ejecutable también sea lanzado en cada inicio del sistema
> > y modifica de nuevo la configuración de Internet Explorer situando en
> > esta ocasión una página en blanco como inicio.
> >
> > Si el gusano ha conseguido realizar el paso anterior también deberemos
> > borrar el archivo:
> >
> > WIN-BUGSFIX.EXE
> > ubicado en el directorio de descarga de Internet Explorer
> >
> > y la entrada del registro:
> >
> HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WIN-BUGSF
> IX
> >
> > El gusano también detecta la presencia del programa mIRC, buscando
> > algunos de los siguientes archivos: "mirc32.exe", "mlink32.exe",
> > "mirc.ini" y "script.ini". En caso de que se encuentren en el sistema
> > el gusano escribe en el mismo directorio su propio archivo SCRIPT.INI
> > donde podemos encontrar, entre otras líneas, las siguientes
> > instrucciones:
> >
> > n0=on 1:JOIN:#:{
> > n1= /if ( $nick == $me ) { halt }
> > n2= /.dcc send $nick "&dirsystem&"\LOVE-LETTER-FOR-YOU.HTM
> > n3=}
> >
> > Las cuales provocan que el gusano se autoenvíe vía DCC, a través del
> > archivo LOVE-LETTER-FOR-YOU.HTM, a todos los usuarios de IRC que
> > entren en el mismo canal de conversación donde se encuentre el
> > usuario infectado.
> >
> > En este caso debemos de borrar los archivos:
> >
> > LOVE-LETTER-FOR-YOU.HTM
> > ubicado en el directorio de sistema (por defecto \WINDOWS\SYSTEM)
> >
> > SCRIPT.INI (si contiene las instrucciones comentadas)
> > ubicado en el directorio de mIRC
> >
> > El virus sobrescribe con su código los archivos con extensiones .VBS
> > y .VBE. Elimina los archivos con extensiones .JS, .JSE, .CSS, .WSH,
> > .SCT y .HTA, y crea otros con el mismo nombre y extensión .VBS en el
> > que introduce su código. También localiza los archivos con extensión
> > .JPG, .JPEG, .MP3 y .MP2, los elimina, y crea otros donde el nuevo
> > nombre está formado por el nombre y la extensión anterior más VBS como
> > nueva extensión real.
> >
> > Por último, recordar a todos nuestros lectores la posibilidad de que
> > este mismo gusano pueda presentarse bajo otros nombres de fichero con
> > tan sólo unas simples modificaciones en su código. Recordamos una vez
> > más que no debemos abrir o ejecutar archivos no solicitados, aunque
> > estos provengan de fuentes confiables. En caso de duda, cuando la
> > fuente es confiable, siempre deberemos pedir confirmación al remitente
> > para comprobar que el envío ha sido intencionado y no se trata de
> > un gusano que se envía de forma automática.
> >
-------------
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
* ULTIMA HORA SOBRE VBS/LoveLetter *
====================================
(http://www.kriptopolis.com/noticias/20000505.html)
No conforme con intentar seducirnos con una falsa carta de amor y
demostrarnos su alta capacidad de reproducción, este amante ficticio,
llegado ayer mismo desde Oriente, amenaza ahora con devorar a las
víctimas de sus encantamientos.
Según ha comunicado a KRIPTOPOLIS la multinacional española antivirus
Panda Software, el troyano WIN-BUGSFIX.EXE (que -como dijimos ayer-
el gusano LoveLetter se baja de Internet, y que luego es renombrado a
WINFAT32.EXE), ejerce una serie de acciones francamente preocupante
cuando se ejecuta al arrancar de nuevo el ordenador. En concreto, el
troyano intenta obtener la siguiente información de las cuentas RAS
del sistema:
* Nombre de cada usuario
* Password
* Número de teléfono (con código de país, área y teléfono)
* Dirección IP
* Servidor DNS primario y secundario
* Servidor WINS primario y secundario
Una vez conseguida esta información, la envía por e-mail a una
dirección de Filipinas, concretamente a <mailme@super.net.ph>. Otra
de las características de este troyano es que no utiliza el Outlook o
MAPI para enviar mensajes, sino que los envía utilizando directamente
los sockets TCP/IP a través de SMTP.
Según Panda Software, "se trata de un tema muy grave, ya que el autor
del troyano puede acceder a todos los sistemas infectados a través de
la información que le llega a esta cuenta de correo. Si el usuario
infectado es el administrador de un sistema que tiene una conexión
RAS para controlar el sistema desde su casa, el atacante tendría el
control total del servidor. Además debilita la seguridad del sistema
modificando las políticas del sistema y desactivando el cache de
passwords".
Panda Software también ha realizado una puntualización sobre la
información suministrada por F-Secure que ayer recogimos en nuestro
boletín. Según la empresa española, "en el caso de los ficheros MP2 y
MP3 el gusano no borra los ficheros, sino que genera una copia de si
mismo con el nombre del archivo encontrado y añade la extensión VBS
al final (quedando mp3.vbs, mp2.vbs) y ocultando los ficheros
originales. Por lo tanto, no borra los ficheros originales sino que
los oculta."
Como todos nuestros lectores están teniendo ocasión de comprobar, el
tema VBS/LoveLetter ha trascendido el ámbito de la información
especializada y está presente a todas horas en prensa, radio y
televisión. La información suministrada por alguno de estos medios no
siempre es precisa ni acertada, por no hablar de las disparatadas
opiniones de algunos intentando demostrar, en base a este episodio,
una supuesta extrema debilidad de Internet o abogando directamente
por la implantación de cuerpos de seguridad especiales que velen por
la bondad y pureza de cuanto circula por sus arterias.
Confiamos en que el buen sentido acabe imponiéndose y todo el mundo
aprenda de una vez la sencilla moraleja: no abrir jamás cualquier
adjunto no solicitado, por inofensivo que pueda parecer. La necesidad
de disponer de un antivirus actualizado vuelve también a hacerse
evidente, por cuanto -a veces- ni siquiera es ya necesario abrir
adjuntos. Tampoco insistiremos más ahora en las cuestiones de fondo,
que atañen a cómo la facilidad de manejo de los programas y sistemas
operativos más difundidos parece conllevar el precio de una seguridad
permanentemente amenazada.
MAS INFORMACION:
http://www.kriptopolis.com/noticias/20000504b.html (español)
http://www.cert.org/advisories/CA-2000-04.html
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=VBS_LOV
LETTER
http://europe.datafellows.com/v-descs/love.htm
http://vil.mcafee.com/dispVirus.asp?virus_k=98617
http://www.sophos.com/virusinfo/analyses/vbsloveleta.html
http://www.symantec.com/avcenter/venc/data/vbs.loveletter.a.html
http://www.pspl.com/virus_info/worms/loveletter.htm
http://www.zdnet.com/anchordesk/stories/story/0,10738,2561821,00.html
http://www.wired.com/news/technology/0,1282,36119,00.html?tw=wn2000050
http://2.digital.cnet.com/cgi-bin2/flo?x=dAEuYAKAmhwKhYgug
Reply to: