Hackers on the Web

    Se trata de un gusano escrito en Visual Basic Script que est� infectando miles de ordenadores a trav�s del correo electr�nico y el IRC. Si recibes un mensaje con el asunto "ILOVEYOU" y el fichero adjunto LOVE-LETTER-FOR-YOU.TXT.vbs, b�rralo inmediatamente. As� mismo, los usuarios de IRC deber�n tener mucho cuidado ya que el gusano tambi�n se propaga a trav�s del cliente mIRC enviando v�a DCC el fichero "LOVE-LETTER-FOR-YOU.HTM".

Seg�n las primeras l�neas de c�digo el gusano procede de Manila, Filipinas, y el autor se apoda "spyder":

rem barok -loveletter(vbe)
rem by: spyder / [email protected] / @GRAMMERSoft Group / Manila,Philippines

El virus crea las siguientes claves en el registro, que deber�n ser borradas para evitar que el virus se ejecute de forma autom�tica nada m�s iniciar el sistema:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
     CurrentVersion\Run\MSKernel32
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
     CurrentVersion\RunServices\Win32DLL

Tambi�n ser� necesario borrar los archivos:

WIN32DLL.VBS
ubicado en el directorio de Windows (por defecto \WINDOWS)

MSKERNEL32.VBS
LOVE-LETTER-FOR-YOU.VBS
ubicados en el directorio de sistema (por defecto \WINDOWS\SYSTEM)

El gusano modifica la p�gina de inicio de Internet Explorer con una de las 4 direcciones, que elige seg�n un n�mero aleatorio, bajo el dominio http://www.skyinet.net. Estas direcciones apuntan al fichero WIN-BUGSFIX.EXE, una vez descargado modifica el registro de Windows para que este ejecutable tambi�n sea lanzado en cada inicio del sistema y modifica de nuevo la configuraci�n de Internet Explorer situando en esta ocasi�n una p�gina en blanco como inicio.

Si el gusano ha conseguido realizar el paso anterior tambi�n deberemos borrar el archivo:

WIN-BUGSFIX.EXE
ubicado en el directorio de descarga de Internet Explorer

y la entrada del registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
        CurrentVersion\Run\WIN-BUGSFIX

El gusano tambi�n detecta la presencia del programa mIRC, buscando algunos de los siguientes archivos: "mirc32.exe", "mlink32.exe", "mirc.ini" y "script.ini". En caso de que se encuentren en el sistema, el gusano escribe en el mismo directorio su propio archivo SCRIPT.INI donde podemos encontrar, entre otras l�neas, las siguientes instrucciones:

n0=on 1:JOIN:#:{
n1= /if ( $nick == $me ) { halt }
n2= /.dcc send $nick "&dirsystem&"\LOVE-LETTER-FOR-YOU.HTM
n3=}

Las cuales provocan que el gusano se autoenv�e v�a DCC, a trav�s del archivo LOVE-LETTER-FOR-YOU.HTM, a todos los usuarios de IRC que entren en el mismo canal de conversaci�n donde se encuentre el usuario infectado.

En este caso debemos de borrar los archivos:

LOVE-LETTER-FOR-YOU.HTM
ubicado en el directorio de sistema (por defecto \WINDOWS\SYSTEM)

SCRIPT.INI (si contiene las instrucciones comentadas)
ubicado en el directorio de mIRC

El virus sobrescribe con su c�digo los archivos con extensiones .VBS y .VBE. Elimina los archivos con extensiones .JS, .JSE, .CSS, .WSH, .SCT y .HTA, y crea otros con el mismo nombre y extensi�n .VBS en el que introduce su c�digo. Tambi�n localiza los archivos con extensi�n .JPG, .JPEG, .MP3 y .MP2, los elimina, y crea otros donde el nuevo nombre est� formado por el nombre y la extensi�n anterior m�s VBS como nueva extensi�n real.

Por �ltimo, recordar que este mismo gusano pueda presentarse bajo otros nombres de fichero con tan s�lo hacer unas ligeras modificaciones en su c�digo. Recordar que no debemos abrir o ejecutar archivos no solicitados, aunque estos provengan de fuentes fiables. En caso de duda, cuando la fuente es fiable, siempre deberemos pedir confirmaci�n al remitente para comprobar que el env�o ha sido intencionado y no se trata de un gusano que se env�a de forma autom�tica.



	You need Java to see this applet.