NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA

www.satinfo.es

Anterior

Nombre de virus VBS/LoveLetter.worm

Alias : desconocido

Características:

Este gusano es un programa realizado en vbs que se envia adjuntado con un email con el subject

"ILOVEYOU".

Este mail contiene el mensaje "Kindly check the attached LOVELETTER coming from me".

El fichero atachado se llama LOVE-LETTER-FOR-YOU.TXT.vbs

Si el usuario ejecuta el gusano atachado, se inicia usando Windows Scripting Host (que está presente en win98, este servicio no suele estar presente en win95 o NT ya que por defecto no se instala, a no ser que

este instalado Internet Explorer 5)

Cuando se ejecuta el gusano por primera vez, en el equipo local se crean los siguientes ficheros:

añadiendo en el registro las siguientes claves:

hkey_local_machine\microsoft\windows\currentversion\run\mskernel32\%directoriodesistema%\mskernel32.vbs

hkey_local_machine\software\microsoft\windows\currentversion\runservices\win32dll,%directoriosistema%\win32dll.vbs

luego ejecuta el gusano al iniciar el sistema.

Este reemplaza los siguientes ficheros:

*.jpeg

*.jpg

*.mp3

*.mp2

En estos ficheros se introduce el codigo virico y le añade la extension .VBS al fichero original.

Por ejemplo, el fichero pict.jpg es reemplazado por pict.jpg.vbs y este contiene el gusano.

El gusano también reescribe las siguientes extensiones:

*.vbs

*.vbe

*.js

*.jse

*.css

*.wsh

*.sct

*.hta

El gusano crea un fichero llamado LOVE-LETTER-FOR-YOU.htm que se contiene a si mismo y se

envia via IRC a los canales conectados (si el mirc esta instalado en el cliente).

Este fichero va acompañado por el gusano, reemplazando el fichero SCRIPT.INI con un script :-

Después de un tiempo corto el gusano envia copias de si mismo a todas las entradas de Outlook de la libreta de direcciones.Siendo el mensaje de correo como el original que nos ha llegado

Este gusano autodescarga de Internet un fichero llamado WIN-BUGSFIX.EXE que se graba en

el disco duro local, examinando todos los passwords del sistema y los envia por email a mailme@super.net.ph, abriendo como pagina de inicio de microsoft internet explorer un download a la direccion donde esta este fichero para ser descargado.

Este email envia lo siguiente

From: goat1@192.168.0.2To: mailme@super.net.phSubject: Barok... email.passwords.sender.trojanX-Mailer: Barok... email.passwords.sender.trojan---by: spyderHost: goat1Username: Goat1IP Address: 192.168.0.2

RAS Passwords:...

<password infoemation goes here>

...

Cache Passwords:...

<password information goes here>

...

goatserver.goatnet/goatserver.goatnet : GOATNET\goat1:

MAPI : MAPI

Este troyano roba-passwords tambien se instala a través de la siguiente clave del registro:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WIN-BUGSFIX

para autoejecutarse al inicio del sistema.

Una vez ejecutado el troyano se copia a si mismo en la ruta

Windows\system\winfat32.exe y reemplaza la clave de registro con:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WinFAT32=WinFAT32.EXE

 

 

SATINFO S.L.