Aviso: Esta informaciãn se facilita 'tal cual', con el objetivo de ayudar a las personas interesadas o afectadas por el virus. No nos hacemos responsables de ninguna consecuencia originada por esta informaciãn.

Introducciãn
NewLove es un nuevo virus escrito en Visual Basic Script. Se autopropaga a trav©s del correo electrãnico, mediante mensajes que tienen como tema las letras "FW:" y un nombre de archivo variable.

Las acciones de este virus son las siguientes:

• Sobreescribe todos los archivos del sistema que no se encuentren en uso.
• Se autodistribuye por correo electrãnico a todas las direcciones del libro de direcciones de Microsoft Outlook.

Descripciãn
La primera vez que se ejecuta el virus, graba una copia de ©l mismo en el directorio Windows en un archivo con un nombre aleatorio (generado de forma aleatoria o utilizando uno de los documentos recientes) con una de las siguientes 'extensiones': .DOC, .XLS, .MDB, .BMP, .MP3, .TXT, .JPG, ,GIF, .MOV, .URL, .HTM y a continuaciãn la extensiãn real (.VBS). El virus se automodifica aáadiendo contenido aleatorio, en forma de comentario, de forma que su tamaáo sea variable.

A continuaciãn, modifica las siguientes entradas del registro de Windows: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run y HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices para ejecutar autom¡ticamente el virus al reiniciar la m¡quina.

El virus lo recibiremos en un mensaje con las siguientes caracter­sticas:

Asunto del mensaje: Variable; "FW: nombre_archivo" (nombre_archivo se genera autom¡ticamente a partir de la relaciãn de documentos recientemente abiertos en el ordenador). Cuando el mensaje es generado en un equipo que utiliza Windows NT o Windows 2000, el asunto es ênicamente "FW: .EXT" (.EXT depende del tipo de documento 'seleccionado').

Cuerpo del mensaje: En blanco.

Nombre del archivo asociado al mensaje: Variable; "nombre_archivo.vbs" (nombre_archivo.vbs se genera autom¡ticamente a partir de la relaciãn de documentos recientemente abiertos en el ordenador). Cuando el mensaje es generado en un equipo que utiliza Windows NT o Windows 2000, el nombre del archivo asociado es ênicamente ".EXT.VBS" (.EXT depende del tipo de documento 'seleccionado').

Tamaáo del archivo asociado: Variable.

Si el usuario ejecuta el archivo asociado, ©ste iniciara su ejecuciãn a trav©s del Windows Scripting Host.

El virus sobreescribe todos los archivos (excepto aquellos bloqueados por estar en uso), independientemente de su tipo y en todas las unidades de disco (locales y remotas). Los archivos originales son borrados del disco y en su lugar se genera un archivo denominado nombre.extensiãn.VBS (por ejemplo, el archivo original logo.jpg es sustituido por el archivo logo.jpg.vbs).

Prevenciãn y Eliminaciãn

Extremar las precauciones antes de ejecutar cualquier archivo recibido a trav©s del correo electrãnico.

En el momento de escribir esta nota (19-05-2000, 16:00 horas), el archivo de definiciãn de virus de Norton Antivirus publicado el 18-05-2000 es capaz de detectar y eliminar correctamente este virus.

Para el VirusScan de Mcafee es preciso instalar la actualizaciãn del archivo de firmas (el motor de bêsqueda de virus debe ser la versiãn 4.0.70 o superior; actualizaciãn a la 4.0.78).

[P¡gina Inicial] [Soluciones] [Socios] [Informes] [Ofertas de Empleo] [Contacto]