Aviso: La presente informaciãn se facilita "tal cual", con el objetivo de ayudar a aquellos que se han visto afectados por el virus. No nos hacemos responsables de cualquier consecuencia de leer o utilizar la informaciãn aqu­ facilitada.

"I Love You" es un virus/caballo de troya que se est¡ diseminando a una gran velocidad, creando aut©nticos dolores de cabeza a los responsables de inform¡tica de muchas organizaciones. Est¡ escrito en VBScript y utiliza el correo electrãnico como mecanismo de distribuciãn.

El cãdigo fuente, formateado para su lectura y con comentarios est¡ disponible en http://www.selseg.com/misc/Iloveyou.exe (archivo encriptado con PGP; para poder visualizarlo se requiere una clave; los interesados pueden solicitarla por correo electrãnico a barcelona@selseg.com)

Descripciãn de un nuevo virus, derivado del "I Love You": NewLove.

Microsoft anuncia la prãxima disponibilidad de una actualizaciãn del Outlook 2000 y del Outlook Express 98 con medidas adicionales de seguridad:

• Imposibilidad de ejecutar archivos .EXE, .BAT, .VBS y otros asociados a mensajes.
• Aviso cuando un programa externo intenta acceder a la informaciãn de la agenda de direcciones.
• Aumento de los valores de seguridad por omisiãn de Outlook.

Est¡ prevista la disponibilidad de esta actualizaciãn el prãximo 22 de mayo.

El m©todo m¡s eficaz para combatir al virus

En la lista NTBugTraq se ha publicado la que, a nuestro juicio, es la mejor forma de evitar la acciãn del virus "I Love You" y cualquier otro virus derivado del mismo (as­ como otros virus futuros escritos en Visual Basic Script).

Se trata de una idea original de Matt Rising y ampliamente desarrollada por Roger Venable. Consiste en un script escrito en Visual Basic Script (la versiãn en castellano se encuentra disponible en http://www.selseg.com/misc/Como_Prevenir_Virus.vbs.txt --para ejecutarla, es preciso bajarla al ordernador y eliminar el '.txt' de su nombre--) que modifica el registro de Windows de forma que antes de proceder a la ejecuciãn de cualquier script en Visual Basic Script o JavaScript solicitar¡ la confirmidad expresa del usuario.

Con este simple truco, antes de ejecutarse cualquier mutaciãn del "I Love You" (o de cualquier otro virus similar) aparecer¡ una pantalla de aviso y el usuario podr¡ evitar su ejecuciãn..

Este script ha sido probado satisfactoriamente en Windows NT y Windows 2000. Deber­a funcionar igualmente en Windows 9x (si alguien encuentra dificultades para su utilizaciãn, rogamos se ponga en contacto con nosotros por correo electrãnico).

Informaciãn de dos nuevas variantes del virus (en Variantes del Virus "I Love You".).
Destacamos, por otra parte, un documento de IBM sobre como prevenir los ataques de virus que se distribuyen a trav©s de Internet.

El nêmero de variantes del virus continua aumentando. En la actualidad ya tenemos veinte variedades diferentes catalogadas en la relaciãn de Variantes del Virus "I Love You".

Diversos fabricantes de antivirus facilitan herramientas para la eliminaciãn del virus. Nosotros aconsejamos las distribuidas por Panda Software, Symantec y Computer Associates.

Por otra parte, recomendamos aáadir las extensiones .VBS, .HTM y .WSF a la relaciãn de tipos de archivo que debe verificar el programa antivirus.

Dado el gran nêmero de variantes del virus que est¡n apareciendo, mantenemos una relaciãn separada de las mismas: Variantes del Virus "I Love You"

1. LoveLetter.E
   
   Se trata de una nueva variante que de distribuye mediante un mensaje con tema "Mothers Day Order Confirmation" y el siguiente texto como cuerpo de mensaje:
   
   Thanks for your purchase!
   
   We have proceeded to charge your credit card for the amount of $326.92 for the mothers day diamond special. We have attached a detailed invoice to this email. Please print out the attachment and keep it in a safe place
   
   El archivo asociado se denomina "mothersday.vbs". Esta variante procede a borrar todos los archivos con extensiãn ".bat".
   
   F-Secure Anti-Virus for Firewalls, con el archivo de firmas m¡s actualizado, puede detectar y eliminar esta variante. Para m¡s informaciãn, consultar http://www.f-secure.com/v-descs/love.htm
   
   La variante LoveLetter.B utiliza como texto "Susitikim shi vakara kavos poudukui..."
    
2. Al menos en una varieante del virus, se ha observado que el archivo VBS no se distribuye como un archivo asociado sino en formato uuencode. En nuestra opiniãn se debe a una modificaciãn efectuada por algên MTA (Agente de Transferencia de Correo), aunque este hecho puede poner dificultades a la detecciãn del virus por parte de antivirus a nivel de servidor de correo.
    
3. No sãlo es preciso incluir la extensiãn .VBS en la relaciãn de archivos a verificar por el programa antivirus. Tambi©n se hace necesario verificar los archivos .WSF (Windows Scripting File). Si modificamos la extensiãn al archivo del virus por .WSF se ejcuta con los mismos efectos.
    
4. FILTRADO DE MENSAJES. Muchos proveedores de acceso a Internet est¡n filtrando los mensajes para evitar la propagaciãn del virus. No obstante, es una medida muy superficial ya que en la mayor­a de casos sãlo es posible filtrar por el t­tulo del mensaje. Algunos de los filtros disponibles son:
• Sendmail. Disponible en http://biocserver.bioc.cwru.edu/~jose/iloveyouhack.txt
• Procmail. Instrucciones disponibles en http://www.selseg.com/misc/procmail.txt
   
5. ANTIVIRUS. Segên parece, el Norton Antivirus (con el archivo de firmas versiãn 24.4.2000) no detecta correctamente el virus. Por el momento, no hay ningêna actualizaciãn m¡s moderna.
   
   La actualizaciãn necesaria para el Dr. Solomon se encuentra en http://www.drsolomons.com/home/extra.zip
   
   Una alternativa a los antivirus americanos es uno de origen alem¡n: http://www.antivir.de/presse/loveletter.htm
   
   Un antivirus especializado en la detecciãn y eliminaciãn del virus "I Love You" y de distribuciãn gratuita: http://www.educom.on.ca/loveEAS.html
   
    
6. SCRIPTS DE RECUPERACI“N. Algunos scripts que permiten recuperar los archivos afectados por el virus son:
• http://www.thepope.org/fix.vbs
• http://www.liwdg.org/love.html
• http://www.creativebits.com/love-condom/
• ftp://autoinst.acs.uci.edu/pub/virus/zotiloveyou

 
Ya se han detectado diversas variedades del virus, que env­an mensajes con un texto/tema diferente ("Joke" y "Funny News"). Como norma general recordamos que no deben ejecutarse los archivos asociados al correo electrãnico sino tenemos la certeza de conocer su contenido. Igualmente deben utilizarse siempre programas antivirus, convenientemente actualizados.

Igualmente estamos recibiendo algunos mensajes con una supuesta 'vacuna' del virus. NO deben ejecutarse, dado que son el propio virus.

• Actualizaciãn para Norton Antivirus
• Actualizaciãn para McAfee Antivirus y Dr. Solomon. Verificaciãn online de la presencia de virus.
• Actualizaciãn para Panda Antivirus
• Avisos del CERT y del FBI (en ingl©s)

El virus utiliza el correo electrãnico para su autopropagaciãn, enviando mensajes con el tema (subject) "ILOVEYOU" y como contenido "kindly check the attached LOVELETTER coming from me".

Asociado al mensaje se env­a un archivo con nombre "I-LOVE-YOU.TXT.vbs". El uso de las mayêsculas parece ser un intento de engaáar a los usuarios que en un primer vistazo, al ver la extensiãn .TXT piensan que se trata de un archivo de texto (seguro) y lo abren.

Una vez ejecutado realiza las siguientes acciones:

1. Si el valor de la entrada del registro de Windows
   HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting Host\Settings\Timeout
   es un valor positivo, le cambia el valor y lo establece a cero (0). Si la entrada no existe, no hace nada.
    
2. Salva una copia del propio virus con los siguientes nombres de archivo:
• \%%WINDIR%%\Win32DLL.vbs
• \%%WINDIR%%\MSKernel32.vbs
• \%%SYSDIR%%\LOVE-LETTER-FOR-YOU.TXT.vbs
   
3. Establece las entradas apropiadas del registro de Windows para ejecutarse autom¡ticamente al arrancar la m¡quina:
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersio n\Run\MSKernel32 => \%%WINDIR%%\MSKernel32.vbs
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersio n\RunServices\Win32DLL => \%%WINDIR%%\Win32DLL.vbs
   
4. Modifica la p¡gina inicial del Microsoft Internet Explorer para que sea una URL (presumiblemente maligna). Si el archivo WinFAT32.EXE existe, establece la p¡gina de inicio (almacenada en la clave del registro HKCU\Software\Microsoft\Internet Explorer\Main\Start Page) a una de las siguiente URL:
• http://www.skyinet.net/~young1s/HJKhjnwerhjkxcvytwertnMTFwetrdsfmhP njw6587345gvsdf7679njbvYT/WIN-BUGSFIX.exe
• http://www.skyinet.net/~angelcat/skladjflfdjghKJnwetryDGFikjUIyqwerWe5 46786324hjk4jnHHGbvbmKLJKjhkqj4w/WIN-BUGSFIX.exe
• http://www.skyinet.net/~koichi/jf6TRjkcbGRpGqaq198vbFV5hfFEkbopBdQZ nmPOhfgER67b3Vbvg/WIN-BUGSFIX.exe
• http://www.skyinet.net/~chu/sdgfhjksdfjklNBmnfgkKLHjkqwtuHJBhAFSDGjk hYUgqwerasdjhPhjasfdglkNBhbqwebmznxcbvnmadshfgqw237461234iuy7th jg/WIN-BUGSFIX.exe

No hemos analizado ninguno de estos programas, pero es de imaginar que tienen algên objetivo malicioso. En el momento de redactar este informe, el servidor donde se encuentran estos archivos no est¡ disponible (es de imaginar que, o bien la gran difusiãn del virus ha colapsado el servidor, bien los administradores de dicho sistema han bloqueado el tr¡fico).

5. Si el archivo WIN-BUGSFIX.exe existe, hace que se ejecute autom¡ticamente al reiniciar la m¡quina:
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run \WIN-BUGSFIX => \Directorio_donde_se_encuentra\win-bugsfix.exe
   Tambi©n establece la p¡gina inicial del Microsoft Internet Explorer a "about:blank" (p¡gina en blanco).
    
6. A continuaciãn imprime el siguiente mensaje en HTML:
   
   This HTML file need ActiveX Control
   To enable to read this HTML file
   - Please press #-#YES#-# button to Enable ActiveX
    
7. El ActiveX establece las entradas del registro para ejecutarse autom¡ticamente al reiniciar Windows, de la misma forma indicada en el punto 3 y genera los archivos indicados en el punto 2.
    
8. El virus se autodistribuye. Establece una conexiãn MAPI a la lista de direcciones del Microsoft Outlook y env­a una copia de si mismo a cada una de las entradas de la lista de direcciones.
    
9. Enumera todas las unidades de disco e infecta archivos
   
   Para infectar archivos, realiza en cada unidad de disco las siguientes acciones:
• Todos los archivos con extensiãn .VBS, .VBE, .JS, .JSE, .CCS, .WSH, .SCT, .HTA, .JPG o .JPEG son sustituidos por una copia del virus. A continuaciãn escribe una copia del virus en un archivo con el mismo nombre/extensiãn del archivo sustituido y aáade la extensiãn .VBS --por ejemplo, el archivo "logo.jpg" ser¡ sustituido por una copia del virus y se crear¡ un archivo con nombre "logo.jpg.vbs").
   
• Si encuentra algên archivo con la extensiãn .MP2 o .MP3, marca dicho archivo con el atributo de oculto y a continuaciãn crea una copia del virus con el nombre del archivo y la extensãn .VBS --por ejemplo, "macarena.mp3" pasar¡ a ser un archivo oculto y grabar¡ una copia del virus con nombre "macarena.mp3.vbs".
   
• Si encuentra los archivos MIRC32.EXE, MIRC.INI, SCRIPT.INI, MIRC.HLP o MLINK32.HLP modificar¡ o crear¡ el archivo SCRIPT.INI en el directorio donde se encuentren para que cada vez que se acceda a un canal de IRC se envie una copia del archivo LOVE-LETTER-FOR-YOU.htm que contiene el virus.

Eliminar el virus es f¡cil, aunque laborioso. Adem¡s, si teniamos algên script en VBScript, WSH o cualquier otro similar, lo hemos perdido irremediablemente.

Los pasos para proceder a la eliminaciãn total son:

1. Borrar las siguientes entradas del registro:
1. HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting Host\Settings\Timeout
2. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersio n\Run\MSKernel32
3. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersio n\RunServices\Win32DLL
4. En HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page tenemos que eliminar todas las instancias de los siguientes archivos:
   
   LOVE-LETTER-FOR.YOU.HTM
   *.VBS
   *.VBE
   *.JS
   *.JSE
   *.CSS
   *.WSH
   *.SCT
   *.HTA
    
2. Buscar los archivos ocultos con extensiãn .MP2 y .MP3 y desactivar el atributo de oculto.
    
3. Por ahora no est¡ claro que efecto tiene el virus en los archivos .JPG y .JPEG, por lo que se aconseja borrarlos igualmente.
    
4. Es una buena idea proceder a borrar la carpeta "Mis documentos".

Actualizar la versiãn del programa antivirus y descargar la êltima actualizaciãn del archivo de firmas.

En ningên caso ejecutar el archivo .VBS recibido por correo electrãnico.

Si utilizamos cualquier versiãn del Microsoft Outlook o el Microsoft Exchange, borrar cualquier mensaje recibido con el tema "ILOVEYOU". De esta forma, rompemos la propagaciãn del virus.

No abrir el archivo LOVE-LETTER-FOR-YOU.htm recibido v­a IRC.

Dada la existencia de diversas variantes del virus (y m¡s que aparecer¡n en los prãximos d­as), extremar la precauciãn ante cualquier archivo asociado a un mensaje.

Este virus en realidad no utiliza ninguna tecnolog­a o t©cnica nueva o desconocida, sino una mezcla de varias t©cnicas bastante conocidas. El ênico semi-aspecto novedoso es la utilizaciãn de VBScript. Al utilizar la capitalizaciãn de archivo (LOVE-LETTER-FOR-YOU.TXT.vbs) es bastante probable que mucha gente crea que es un simple archivo de texto.

Por lo que se refiere al origen del virus, un secciãn del cãdigo del mismo indica que es una creaciãn de "Spyder", facilitando una direcciãn de correo electrãnico que parece pertenecer a una empresa. As­ mismo indica una localizaciãn geogr¡fica (Manila, Filipinas). Obviamente es cuestionable que el autentico autor del virus incluya una direcciãn real de correo electrãnico.

[P¡gina Inicial] [Soluciones] [Socios] [Informes] [Ofertas de Empleo] [Contacto]