topeesp.gif (5672 bytes)

[ Index ]

Y2K - PCVC List name

Messages

Go to #: 109
Go to #: 108
Go to #: 107
Go to #: 106
Go to #: 105
Go to #: 104
Go to #: 103
Go to #: 102

#102 De: Edgardo Schapachnik < edgardo@schapachnik.com.ar >
Enviado: Jueves, 04 de Mayo de 2000 08:19 p.m.
Asunto:  [Informatica-FECC] Virus del amor
Queridos amigos:
Habran escuchado y visto en la TV que en el dia de hoy, el Pentagono. el Parlamento ingles, etc han sido invadidos por un nuevo Virus con gran potencialidad danina y reproductiva. En efecto, personalmente recibi en la direccion del Curso de Arritmias el
citado mensaje conteniendo el virus, proveniente de una Universidad española. Les transcribo entonces esta informacion que llego en el boletin nro 172 de Kriptopolis, el prestigioso sitio español de seguridad informatica.
Como siempre, y en este caso con mas razon, pues se trata de un "virus del amor", el metodo mas efectivo de control es uno solo":
ABSTENCION! :-)
Esta es la nota:
                      AMORES QUE MATAN
______________________________________________________________________
Por José Manuel Gómez  (jmg@kriptopolis.com) http://www.kriptopolis.com/noticias/20000504b.html
Como saben ustedes, muy pocas veces nos ponemos al teclado para narrarles el nacimiento de un nuevo virus. Lo hicimos primero con
Melissa, después con BubbleBoy, y ahora nos toca volver a hacerlo con VBS/LoveLetter. Si Melissa y BubbleBoy inauguraron -cada uno a su
manera- un nuevo género, VBS/LoveLetter no llega a tanto, pero puede hacer bastante daño debido a su extraordinaria capacidad de
propagación. De hecho, antes de recibir el primer aviso, el buzón de KRIPTOPOLIS ya albergaba dos ejemplares de esta nueva especie.
El gusano llega a nuestro buzón de correo electrónico acompañando a un mensaje de título ILOVEYOU. El mensaje trae un fichero adjunto de
apariencia inocente (parece puro texto) y que sólo nos muestra el título LOVE-LETTER-FOR-YOU.TXT. En realidad, el fichero acaba con una
extensión mucho más peligrosa (.vbs), que nuestro programa de correo no nos enseña. Una vez abierto se ejecuta y procede a:
1.) Copiarse al directorio de sistema de Windows, en la forma de dos ficheros:
    MSKernel32.vbs
    LOVE-LETTER-FOR-YOU.TXT.vbs
2.) Copia al directorio de Windows el siguiente fichero:
    Win32DLL.vbs
3.) Se añade al registro para volver a ejecutarse cuando se arranque el sistema. Las claves son:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Run\MSKernel32
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServices\Win32DLL
4.) Reemplaza la página de arranque de Internet Explorer por un enlace al fichero ejecutable WIN-BUGSFIX.exe. Si este fichero se
descarga se añade también al registro, para ejecutarse en cada rearranque.
5.) El gusano añade al directorio de sistema de Windows el fichero LOVE-LETTER-FOR-YOU.HTM, que contiene el propio gusano y será enviado a través de mIRC cada vez que el usuario entre en un canal de IRC (lo que representa la segunda vía alternativa de infección).
6.) El gusano busca el programa de correo Outlook y se reenvía a TODA la libreta de direcciones. El mensaje muestra los siguientes campos:
  Asunto: ILOVEYOU
Cuerpo del mensaje: kindly check the attached LOVELETTER coming from me.  Adjunto: LOVE-LETTER-FOR-YOU.TXT.vbs
7.) Por último, el gusano busca ficheros con ciertas extensiones y los manipula y sobreescribe de la siguiente forma:
* Extensiones VBS y VBE -> son reescritos.
* Extensiones JS, JSE, CSS, WSH, SCT y HTA -> Crea nuevos ficheros de igual nombre y extensión VBS. Los originales son borrados.
  * Extensiones JPG, JPEG, MP2 y MP3 -> Crea nuevos ficheros con extensión VBS añadida a la original y borra los ficheros originales.
VBS/LoveLetter ha aparecido hoy mismo (4-5-2000) y parece (o simula) provenir de Filipinas, pues sus primeras líneas de código dicen: rem barok -loveletter(vbe) <i hate go to school> rem by: spyder / ispyder@mail.com / @GRAMMERSoft Group /
Manila,Philippines
CONSEJOS:
* Eliminar sin abrir cualquier mensaje que muestre las características comentadas.
* Actualizar su antivirus.
AGRADECIMIENTO:
Esta información ha sido elaborada gracias a la colaboración de F-Secure Corporation (http://www.F-Secure.com/).
MAS INFORMACION: http://www.f-secure.com/v-descs/love.htm

Top

#103 De:  Familia Llanos <ggdl@centenario.neunet.com.ar>
Enviado: Viernes, 05 de Mayo de 2000 7:47 a.m
Asunto: RE: [Informatica-FECC] Virus del amor
Estimado Edgardo:
Al leer la advertencia busque en mi PC archivos con extension .vbs y aparecieron: "registry.vbs", "shortcut.vbs", y "showwar.vbs".
Son todos los archivos .vbs provocados por virus? Debo eliminar estos?
Muchas gracias por la orientacion.

Top

#104 De:  Edgardo Schapachnik < edgardo@schapachnik.com.ar >
Enviado: Viernes, 05 de Mayo de 2000 11:32 a.m.
Asunto: [Informatica-FECC] Ma sobre el I Love you
Queridos amigos:
Esta nota corresponde al articulo difundido en la fecha del Numero 173 de Kriptopolis
* ULTIMA HORA SOBRE VBS/LoveLetter *
====================================
(http://www.kriptopolis.com/noticias/20000505.html)
No conforme con intentar seducirnos con una falsa carta de amor y demostrarnos su alta capacidad de reproducción, este amante ficticio,
llegado ayer mismo desde Oriente, amenaza ahora con devorar a las víctimas de sus encantamientos.
Según ha comunicado a KRIPTOPOLIS la multinacional española antivirus Panda Software, el troyano WIN-BUGSFIX.EXE (que -como dijimos ayer- el gusano LoveLetter se baja de Internet, y que luego es renombrado a WINFAT32.EXE), ejerce una serie de acciones francamente preocupante cuando se ejecuta al arrancar de nuevo el ordenador. En concreto, el troyano intenta obtener la siguiente información de las cuentas RAS del sistema:
* Nombre de cada usuario
* Password
* Número de teléfono (con código de país, área y teléfono)
* Dirección IP
* Servidor DNS primario y secundario
* Servidor WINS primario y secundario
Una vez conseguida esta información, la envía por e-mail a una dirección de Filipinas, concretamente a <mailme@super.net.ph>. Otra
de las características de este troyano es que no utiliza el Outlook o MAPI para enviar mensajes, sino que los envía utilizando directamente
los sockets TCP/IP a través de SMTP.
Según Panda Software, "se trata de un tema muy grave, ya que el autor del troyano puede acceder a todos los sistemas infectados a través de
la información que le llega a esta cuenta de correo. Si el usuario infectado es el administrador de un sistema que tiene una conexión
RAS para controlar el sistema desde su casa, el atacante tendría el control total del servidor. Además debilita la seguridad del sistema modificando las políticas del sistema y desactivando el cache de passwords".
Panda Software también ha realizado una puntualización sobre la información suministrada por F-Secure que ayer recogimos en nuestro
boletín. Según la empresa española, "en el caso de los ficheros MP2 y MP3 el gusano no borra los ficheros, sino que genera una copia de si
mismo con el nombre del archivo encontrado y añade la extensión VBS al final (quedando mp3.vbs, mp2.vbs) y ocultando los ficheros
originales. Por lo tanto, no borra los ficheros originales sino que los oculta."
Como todos nuestros lectores están teniendo ocasión de comprobar, el tema VBS/LoveLetter ha trascendido el ámbito de la información
especializada y está presente a todas horas en prensa, radio y televisión. La información suministrada por alguno de estos medios no
siempre es precisa ni acertada, por no hablar de las disparatadas opiniones de algunos intentando demostrar, en base a este episodio,
una supuesta extrema debilidad de Internet o abogando directamente por la implantación de cuerpos de seguridad especiales que velen por
la bondad y pureza de cuanto circula por sus arterias.
Confiamos en que el buen sentido acabe imponiéndose y todo el mundo aprenda de una vez la sencilla moraleja: no abrir jamás cualquier
adjunto no solicitado, por inofensivo que pueda parecer. La necesidad de disponer de un antivirus actualizado vuelve también a hacerse
evidente, por cuanto -a veces- ni siquiera es ya necesario abrir adjuntos. Tampoco insistiremos más ahora en las cuestiones de fondo,
que atañen a cómo la facilidad de manejo de los programas y sistemas operativos más difundidos parece conllevar el precio de una seguridad
permanentemente amenazada.
MAS INFORMACION:
http://www.kriptopolis.com/noticias/20000504b.html (español)
http://www.cert.org/advisories/CA-2000-04.html
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=VBS_LOV
LETTER
http://europe.datafellows.com/v-descs/love.htm
http://vil.mcafee.com/dispVirus.asp?virus_k=98617
http://www.sophos.com/virusinfo/analyses/vbsloveleta.html
http://www.symantec.com/avcenter/venc/data/vbs.loveletter.a.html
http://www.pspl.com/virus_info/worms/loveletter.htm
http://www.zdnet.com/anchordesk/stories/story/0,10738,2561821,00.html
http://www.wired.com/news/technology/0,1282,36119,00.html?tw=wn2000050
http://2.digital.cnet.com/cgi-bin2/flo?x=dAEuYAKAmhwKhYgug

Top

#105 De:  Edgardo Schapachnik <edgardo@schapachnik.com.ar >
Enviado: Viernes, 05 de Mayo de 2000 11:40 a.m.
Asunto:  [Informatica-FECC] Informacion tecnica sobre el Virus I love You
Queridos amigos:
Esta es la ficha tecnica del "Virus del Amor", distribuida por el Departamento de Seguridad Informatica de Rediris.
Un abrazo
Edgardo
NOMBRE: VBS.LoveLetter
ALIAS: I-Worm_LoveLetter,
FECHA DE DETECCION: 4 de mayo de 2000
DESCRIPCION:
Es un gusano escrito en Visual Basic Script y está infectando a miles de ordenadores a través del correo electrónico y el IRC.
Solo funciona en ordenadores con el Windows Scripting Host (WSH) instalado. En Windows 98 y Windows 2000 el WHS se instala por defecto. El gusano realiza actos destructivos y envia copias por E-Mail. llega en forma de mensaje, con el asunto "ILOVEYOU" y un
archivo adjunto con el nombre de "LOVE-LETTER-FOR-YOU.TXT.vbs", aunque la extensión VBS (Visual Basic Script) puede permanecer
oculta en las configuraciones por defecto de Windows, lo cual puede hacer pensar que se trate de un inocente archivo de texto.
*Variante b)
Esta variante utiliza otro subjet para propagarse
Subject:    Susitikim shi vakara kavos puodukui...
Body:       kindly check the attached LOVELETTER coming from me.
Attachment: LOVE-LETTER-FOR-YOU.TXT.vbs
LoveLetter.b contiene los siguientes comentarios en su codigo:
Modified Lameris Tamoshius / Lithuania (Tovi systems)
*Variante c)
Subject:    fwd: Joke
Attachment: Very Funny.vbs
EFECTOS:
Cuando se abre el archivo infectado el gusano procede a infectar el sistema, y expandirse rápidamente enviándose a todos aquellos
contactos que tengamos en la agenda del Outlook, incluidas las agendas globales corporativas. Es importante no ejecutar ningún
archivo adjunto que venga con dicho mensaje y avisar de forma  inmediata a los administradores de la red de la llegada de dicho
email.
Según las primeras líneas de código el gusano procede de Manila, Filipinas, y el autor se apoda "spyder":
rem  barok -loveletter(vbe) <i hate go to school>
rem  by: spyder  /  ispyder@mail.com   /  @GRAMMERSoft Group  /Manila,Philippines
El virus crea las siguientes claves en el registro, que deberán ser borradas para evitar que el virus se ejecute de forma automática nada más iniciar el sistema:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL
También será necesario borrar los archivos:
WIN32DLL.VBS
ubicado en el directorio de Windows (por defecto \WINDOWS)
MSKERNEL32.VBS
LOVE-LETTER-FOR-YOU.VBS
ubicados en el directorio de sistema (por defecto \WINDOWS\SYSTEM)
El gusano modifica la página de inicio de Internet Explorer con una de las 4 direcciones, que elige según un número aleatorio, bajo el dominio http://www.skyinet.net. Estas direcciones apuntan al fichero WIN-BUGSFIX.EXE, una vez descargado modifica el registro de Windows
para que este ejecutable también sea lanzado en cada inicio del sistema y modifica de nuevo la configuración de Internet Explorer situando en
esta ocasión una página en blanco como inicio.
Si el gusano ha conseguido realizar el paso anterior también deberemos borrar el archivo:
WIN-BUGSFIX.EXE
ubicado en el directorio de descarga de Internet Explorer y la entrada del registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WIN-BUGSFI X
El gusano también detecta la presencia del programa mIRC, buscando algunos de los siguientes archivos: "mirc32.exe", "mlink32.exe",
"mirc.ini" y "script.ini". En caso de que se encuentren en el sistema el gusano escribe en el mismo directorio su propio archivo SCRIPT.INI
donde podemos encontrar, entre otras líneas, las siguientes instrucciones:
n0=on 1:JOIN:#:{n1=  /if ( $nick == $me ) { halt }
n2=  /.dcc send $nick "&dirsystem&"\LOVE-LETTER-FOR-YOU.HTM n3=}
Las cuales provocan que el gusano se autoenvíe vía DCC, a través del archivo LOVE-LETTER-FOR-YOU.HTM, a todos los usuarios de IRC que entren en el mismo canal de conversación donde se encuentre el usuario infectado.
En este caso debemos de borrar los archivos:
LOVE-LETTER-FOR-YOU.HTM
ubicado en el directorio de sistema (por defecto \WINDOWS\SYSTEM)
SCRIPT.INI (si contiene las instrucciones comentadas) ubicado en el directorio de mIRC
El virus sobrescribe con su código los archivos con extensiones .VBS y .VBE. Elimina los archivos con extensiones .JS, .JSE, .CSS, .WSH,
.SCT y .HTA, y crea otros con el mismo nombre y extensión .VBS en el que introduce su código. También localiza los archivos con extensión
.JPG, .JPEG, .MP3 y .MP2, los elimina, y crea otros donde el nuevo nombre está formado por el nombre y la extensión anterior más VBS como
nueva extensión real.
Por último, recordar a todos nuestros lectores la posibilidad de que este mismo gusano pueda presentarse bajo otros nombres de fichero con
tan sólo unas simples modificaciones en su código. Recordamos una vez más que no debemos abrir o ejecutar archivos no solicitados, aunque
estos provengan de fuentes confiables. En caso de duda, cuando la fuente es confiable, siempre deberemos pedir confirmación al remitente
para comprobar que el envío ha sido intencionado y no se trata de un gusano que se envía de forma automática.
PREVENCION:
Si recibe un mensaje con el asunto "ILOVEYOU" y el fichero adjunto LOVE-LETTER-FOR-YOU.TXT.vbs, bórrelo directamente. Así mismo, los
usuarios de IRC deberán tener precaución ya que el gusano también se propaga a través del cliente mIRC enviando vía DCC el fichero
"LOVE-LETTER-FOR-YOU.HTM".
Se recomienda no ejecutar ningun fichero adjunto a un mensaje de correo que provenga de una fuente desconocida, y aquellos que, aun proviniendo de fuentes conocidas, no hayan sido solicitados.
FUENTES:
HispaSec
http://www.hispasec.com/unaaldia.asp?id=552 F-Secure
http://www.datafellows.com/v-descs/love.htm Mc.Afee
http://www.mcafee.com TrendMicro
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=VBS_LOVELETT ER-O

  Top

#106 De:  Edgardo Schapachnik <edgardo@schapachnik.com.ar >
Enviado: Viernes, 05 de Mayo de 2000 11:32 a.m.
Asunto: [Informatica-FECC] Virus I LOVE YOU
Queridos amigos:
Dado la amplia repercusion que ha tenido me parecio de interes reproducir este mensaje firmado por Jesus de las Heras, administrador general de RedIRIS, la red de la Comunidad Academica Española. Asi como Jesus habla de las medidas que se tomaron en Rediris, es bueno
rerordar que absolutamente todas las Listas de Correo que fueron creadas durante el PCVC y que ahora lo son del Foro de Educacion Continua. tienen mecanismos de proteccion que impiden que este tipo de virus se propague por las mismas. El comentario de Jesus acerca de no generar trafico de mails sobre el tema, es valido para las listas de Rediris, no para CURSOFAC, que precisamente se ocupa de estos temas, entre otros.
Enviare un mensaje aparte, de Rediris, sobre aspectos "tecnicos" del virus y una segunda nota de Kriptopolis sobre el particular.
Un abrazo
Edgardo

Transcribo el mensaje:
Hola,
El poder y los intereses de los medios de comunicación han provocado una alarma injustificada respecto a este nuevo virus ILOVEYOU. La gente grita, tengo noticias de instituciones de RedIRIS que han apagado  sus servidores de correo-e, otros arrancan el cable para que no entre este virus tan horrible y por lo visto mutante, otros dice que es el principio del fin... de Internet claro, otros que es culpa de alineación
de los planetas, otros que es obra de integristas islámicos escondidos en las selvas de Filipinas.... Todo esto lo he oído  ayer por la noche y
esta mañana en radios "etiquetadas" como  serias. No había oido nada igual en mi vida.
Al grano, RedIRIS ayer por la tarde tomó medidas   para interceptar y rechazar este virus, lo que evitará que se propague por las listas de
RedIRIS. Por lo tanto si recibís este virus teneis la garantía que no ha llegado a través de ninguna   lista de RedIRIS.
Os recuerdo que este virus y según la documentación, sólo afecta a clientes de correo- Outlook y Exchange.
Envio este mensaje con el objeto de  que informéis  a vuestros suscriptores, para que no cunda el pánico y garantizarlos que dicho
virus no entrará por las listas de RedIRIS y SOBRE TODO evitar que  se genere tráfico en la lista por el tema de este virus.  Espero poder
enviaros mas información en castellano cerca de este virus aunque ya está ampliamente documentada por ahora en ingles, La mas fiable y
completa es:  http://www.DataFellows.com/v-descs/love.htm Por favor lo antes posibles  enviar un mensaje de tranquilidad en
vuestras listas redactado por vosotros mismos y en estos términos. El peor efecto de este virus en el Servicio no es el propio virus sino  la
generación de miles de mensajes hablando  y comentado el virus.
SALUDos,

Top

#107 De:  Edgardo Schapachnik <edgardo@schapachnik.com.ar >
Enviado: Viernes, 05 de Mayo de 2000 02:46 p.m.
Asunto: RE: [Informatica-FECC] Virus del amor
Estimado Edgardo:
Al leer la advertencia busque en mi PC archivos con extension .vbs y aparecieron: "registry.vbs", "shortcut.vbs", y "showwar.vbs".
Son todos los archivos .vbs provocados por virus? Debo eliminar estos? Muchas gracias por la orientacion.
La extension VBS hace referencia a VISUAL BASIC SCRIPT, por lo cual respondo tu pregunta: NO, todos los archivos con esa extension para nada son provocados por virus.
Debe tenerse precaucion, segun las fuentes consultadas y que he reenviado a esta lista si aparecen estos archivos:
WIN32DLL.VBS
ubicado en el directorio de Windows (por defecto \WINDOWS)
MSKERNEL32.VBS
LOVE-LETTER-FOR-YOU.VBS
ubicados en el directorio de sistema (por defecto \WINDOWS\SYSTEM)
No deben preocuparse si no recibieron un mail con el adjunto I LOVE YOU. Tampoco pasa nada si lo recibieron y no lo abrieron, como debe hacerse siempre que se recibe un adjunto no esperado de remitente conocido o desconocido
Un abrazo
Edgardo

Top

#108 De:  Karel Morlans Hernandez <icardio@infomed.sld.cu>
Enviado: Domingo, 07 de Mayo de 2000 11:17 a.m.

Asunto:  [Informatica-FECC] Mas Noticias del virus ILOVE
Estimados colegas según información proporcionada por Symantec ya han han aparecido nuevas variantes del gusano ILOVE:
VBS.LoveLetter.A (original)
Fichero adjunto: LOVE-LETTER-FOR-YOU.TXT.vbs
Asunto: ILOVEYOU
Cuerpo del mensaje: kindly check the attached LOVELETTER coming from me.
VBS.LoveLetter.B (alias "Lithuania")
Fichero adjunto: LOVE-LETTER-FOR-YOU.TXT.vbs
Asunto: Susitikim shi vakara kavos puodukui...
Cuerpo del mensaje: kindly check the attached LOVELETTER coming from me.
VBS.LoveLetter.C (alias "Very Funny")
Fichero adjunto: Very Funny.vbs
Asunto: fwd: Joke
Cuerpo del mensaje: [vacio]
VBS.LoveLetter.D (alias "BugFix")
Fichero adjunto: LOVE-LETTER-FOR-YOU.TXT.vbs
Asunto: ILOVEYOU
Cuerpo del mensaje: kindly check the attached LOVELETTER coming from me.
Nota: en el registro de Windows: WIN- -BUGSFIX.exe en vez de
WIN-BUGSFIX.exe
VBS.LoveLetter.E (alias "Mother's Day")
Fichero adjunto: mothersday.vbs
Asunto: Mothers Day Order Confirmation
Cuerpo del mensaje: We have proceeded to charge your credit card for
the amount of $326.92 for the mothers day diamond special. We have attached a detailed invoice to this email. Please print out the
attachment and keep it in a safe place.Thanks Again and Have a Happy
Mothers Day! mothersday@subdimension.com
Nota: mothersday.HTM enviado por IRC. Comentario en el código: rem
hackers.com, & start up page to hackes.com, l0pht.com, or 2600.com
VBS.LoveLetter.F (alias "Virus Warning")
Fichero adjunto: virus_warning.jpg.vbs
Asunto: Dangerous Virus Warning
Cuerpo del mensaje: There is a dangerous virus circulating. Please
click attached picture to view it and learn to avoid it.
Nota: Urgent_virus_warning.htm
VBS.LoveLetter.G (alias "Virus ALERT!!!")
Fichero adjunto: protect.vbs
Asunto: Virus ALERT!!!
Cuerpo del mensaje: a long message regarding VBS.LoveLetter.A
Nota: FROM support@symantec.com. Esta variante también sobrescribe
ficheros con extensión .bat y .com
VBS.LoveLetter.H (alias "No Comments")
Fichero adjunto: LOVE-LETTER-FOR-YOU.TXT.vbs
Asunto: ILOVEYOU
Cuerpo del mensaje: kindly check the attached LOVELETTER coming from me.
Nota: las líneas de comentario han sido eliminadas.
VBS.LoveLetter.I (alias "Important! Read carefully!!")
Fichero adjunto: Important.TXT.vbs
Asunto: Important! Read carefully!!
Cuerpo del mensaje: Check the attached IMPORTANT coming from me!
Notas: línea de comentario: by: BrainStorm / @ElectronicSouls.
También copia los ficheros ESKernel32.vbs y ES32DLL.vbs, y añade comentarios al script.ini de mIRC referentes a BrainStorm y ElectronicSouls, así como envía el archivo IMPORTANT.HTM a través de DCC.
Saludos y suerte
Dr. Karel Morlans Hernandez

Top

#109 De: Edgardo Schapachnik <edgardo@schapachnik.com.ar >
Enviado: Lunes, 08 de Mayo de 2000 03:46 p.m.
Asunto: [Informatica-FECC] Mas Mas sobre el virus del Amor
Queridos amigos:
En un mensaje anterior, Karel relataba hasta la version "i" del virus; han aparecido otras mutaciones hasta la letra "M": *Variante j)
(alias "VBS.LoveLet-J")
Fichero adjunto: protect.vbs
Asunto: Virus ALERT!!
Cuerpo del mensaje: Igual que la variante g
Diferencias: Es una ligera modificacion de la variante g.*Variante k)
(alias "VBS.LoveLet-k")
Fichero adjunto: Virus-Protection-Instructions.vbs
Asunto: How to protect yourself from the ILOVEYOU bug¡
Cuerpo del mensaje: Here's the easy way to fix the love virus *Variante l)
(alias "VBS.LoveLet-L")
Fichero adjunto: KillEmAll.txt.vbs
Asunto: I can believe this¡
Cuerpo del mensaje: I can believe I have Just recieved this hate Email... Take a look¡
diferencias:reemplaza los ficheros GIF y BMP por JPG y JPEG, esconde los MP3 y MP2 por WAV y MID. No posee rutina IRC y copia los ficheros Killer.htm, Killer2.vbs, killer1.vbs al disco duro. *Variante m)
(alias "VBS.LoveLet-M")
Fichero adjunto:ArabAir.txt.vbs
Asunto: Thank you for flying with arab Airlines
Cuerpo del mensaje: Please check if the bill is correct opening the attached file
Diferencias: Reemplaza los ficheros JPG y JPEG por DLL y EXE,esconde los MP3 y MP" por SYS y DLL y copia no-hate-For-you.htm en el disco duro.
EFECTOS:
Aparte de los efectos comentados en el mensaje anterior se puede destacar:
El virus ejerce una serie de acciones francamente preocupantes cuando se ejecuta al arrancar de nuevo el ordenador. En concreto, el
troyano intenta obtener la siguiente información de las cuentas RAS del sistema:
* Nombre de cada usuario
* Password
* Número de teléfono (con código de país, área y teléfono)
* Dirección IP
* Servidor DNS primario y secundario
* Servidor WINS primario y secundario
Una vez conseguida esta información, la envía por e-mail a una dirección de Filipinas, concretamente a <mailme@super.net.ph>. Otra
de las características de estas variantes es que no utiliza el Outlook o MAPI para enviar mensajes, sino que los envía utilizando directamente
los sockets TCP/IP a través de SMTP.
"se trata de un tema muy grave, ya que el autor del troyano puede acceder a todos los sistemas infectados a través de
la información que le llega a esta cuenta de correo. Si el usuario infectado es el administrador de un sistema que tiene una conexión
RAS para controlar el sistema desde su casa, el atacante tendría el control total del servidor. Además debilita la seguridad del sistema
modificando las políticas del sistema y desactivando el cache de passwords".
FUENTES:
Symantec http://www.sarc.com/avcenter/venc/data/vbs.loveletter.a.html
Virus attack http://members.es.tripod.de/virusattack/index2.htm
PandaSoftware http://www.PandaSoftware.com/default.asp?idioma=1
Mcafee http://vil.nai.com/villib/dispvirus.asp?virus_k=98621

Top



© CETIFAC
Bioengineering
UNER

Update
May/10/2000