Email-Worm.VBS.LoveLetter

Detalles técnicos

Este es el gusano de Internet que causó la epidemia mundial a principios de mayo de 2000. El gusano se propaga por correo electrónico al enviar mensajes infectados desde las computadoras afectadas. Mientras se propaga, el gusano usa MS Outlook y se envía a todas las direcciones que están almacenadas en la libreta de direcciones de MS Outlook. Como resultado, una computadora infectada envía tantos mensajes a tantas direcciones guardadas en la lista de contactos de MS Outlook.

El gusano está escrito en el lenguaje de scripting "Visual Basic Script" (VBS). Funciona solo en computadoras en las que se ha instalado el Windows Scripting Host (WSH). En Windows 98 y Windows 2000, WHS está instalado por defecto. Para propagarse, el gusano accede a MS Outlook y utiliza sus funciones y listas de direcciones, que solo están disponibles en Outlook 98/2000, por lo que el gusano solo se puede propagar en caso de que se instale una de estas versiones de MS Oulook.

Cuando se ejecuta, el gusano envía sus copias por correo electrónico, se instala en el sistema, realiza acciones destructivas, descarga e instala un programa troyano. El gusano también tiene la capacidad de propagarse a través de los canales mIRC.

El gusano contiene cadenas de "derechos de autor":

barok -loveletter (vbe) <i hate ir a la escuela>
por: spyder / ispyder@mail.com / @GRAMMERSoft Group / Manila, Filipinas

Extensión

El gusano llega a una computadora como un mensaje de correo electrónico con un archivo VBS adjunto que es el mismo gusano. El mensaje en la versión original del gusano tiene:

 El Asunto: ILOVEYOU 
 Cuerpo del mensaje: amablemente revisa el LOVELETTER adjunto que viene de mí. 
 Nombre de archivo adjunto: LOVE-LETTER-FOR-YOU.TXT.vbs

Tras la activación por parte de un usuario, (haciendo doble clic en un archivo adjunto), el gusano abre MS Outlook, obtiene acceso a la Libreta de direcciones, obtiene todas las direcciones desde allí y envía mensajes con su copia adjunta a todos ellos. El asunto del mensaje, el cuerpo y el nombre del archivo adjunto son los mismos que los de arriba.

El gusano también se instala en el sistema. Crea sus copias en los directorios de Windows con los nombres:

 en el directorio de Windows: WIN32DLL.VBS  en el directorio del sistema de Windows: MSKERNEL32.VBS, LOVE-LETTER-FOR-YOU.TXT.VBS

Estos archivos se registran en la sección de ejecución automática de Windows en el registro del sistema:

HKLMSoftwareMicrosoftWindowsCurrentVersionRunMSKernel32 = MSKERNEL32.VBS

HKLMSoftwareMicrosoftWindowsCurrentVersionRunServicesWin32DLL = Win32DLL.VBS

Como resultado, el gusano se reactiva cada vez que Windows arranca.

El gusano también crea un cuentagotas HTM en el directorio del sistema de Windows para usarlo mientras se propaga a los canales mIRC (ver a continuación). Esta copia tiene el siguiente nombre:

LOVE-LETTER-FOR-YOU.TXT.HTM

Descargar un archivo troyano

Para instalar el programa troyano en el sistema, el gusano modifica la URL a la página de inicio de Internet Explorer. La nueva URL apunta a un sitio web (randonly seleccionado entre cuatro variantes) y obliga a Explorer a descargar un archivo EXE desde allí. Ese archivo tiene el nombre WIN-BUGSFIX.EXE y es el programa Troyano. El gusano registra este archivo en el registro del sistema en una sección de ejecución automática:

HKLMSoftwareMicrosoftWindowsCurrentVersionRunWIN-BUGSFIX = WIN-BUGSFIX.exe

En la siguiente ejecución, Internet Exlorer descarga el troyano y lo almacena en el directorio de descarga del sistema. En el siguiente inicio de Windows, el troyano obtiene el control y se copia al directorio de sistema de Windows con el nombre WINFAT32.EXE.

Cuando se ha instalado el troyano en el sistema, el gusano establece la página de inicio de Internet Explorer en blanco ("sobre: ​​en blanco").

El archivo descargado e instalado es un troyano que roba contraseñas. Obtiene el nombre de la máquina local y la dirección IP, los inicios de sesión de la red y las contraseñas, la información RAS, etc., y los envía al host del troyano. Las muestras que se han analizado envían mensajes a "mailme@super.net.ph", el asunto del mensaje es similar a lo siguiente:

Barok … email.passwords.sender.trojan

Difundir a los canales de IRC

El gusano escanea unidades locales y busca archivos:

MIRC32.EXE, MLINK32.EXE, MIRC.INI, SCRIPT.INI, MIRC.HLP

En caso de que al menos uno de estos archivos se encuentre en un subdirectorio, el gusano arroja un nuevo archivo SCRIPT.INI allí. Ese archivo contiene instrucciones mIRC que envían una copia de gusano (el archivo LOVE-LETTER-FOR-YOU.TXT.HTM) a todos los usuarios que se unen al canal de IRC infectado.

El archivo SCRIPT.INI contiene los comentarios:

mIRC Script
Por favor, no edites este script … mIRC se corromperá, si mIRC
corrupto … WINDOWS afectará y no se ejecutará correctamente. Gracias

Khaled Mardam-Bey
http://www.mirc.com

Cuando un usuario de IRC recibe ese HTML infectado, se copia en un directorio de descarga de IRC. El gusano se activa a partir de ese archivo solo en caso de que el usuario haga clic en él. Debido a que la configuración de seguridad del navegador no permite que los scripts accedan a los archivos del disco y muestren un mensaje de advertencia, el gusano usa un truco para evitar eso. Primero, muestra un mensaje para engañar al usuario:

Este archivo HTML necesita control ActiveX
Para habilitar para leer este archivo HTML
– Presione el botón 'SÍ' para habilitar ActiveX

En caso de que el usuario realmente haga clic en 'SÍ', el gusano tendrá acceso a los archivos del disco y se instalará en el sistema. Deja caer su código VBS en el directorio del sistema de Windows con el nombre MSKERNEL32.VBS y lo registra en la sección de ejecución automática de Windows en el registro del sistema:

HKLMSoftwareMicrosoftWindowsCurrentVersionRunMSKernel32 = MSKERNEL32.VBS

En caso de que se elija 'NO', el gusano intercepta el movimiento del mouse y los eventos de pulsación de teclas y luego se recarga. Como resultado, un usuario recibe un mensaje de advertencia en un bucle sin fin hasta que presiona 'SÍ'.

Acción destructiva

El gusano escanea los árboles de subdirectorios en todas las unidades locales y mapeadas disponibles, enumera todos los archivos allí y, dependiendo de la extensión del nombre de archivo, realiza acciones:

• VBS, VBE: el gusano sobrescribe estos archivos con su cuerpo VBS. Como resultado, todos los programas VBS y VBE en el sistema se sobrescriben con código de gusano.
• JS, JSE, CSS, WSH, SCT, HTA: el gusano crea un nuevo archivo con un nombre de archivo original más la extensión ".VBS" y elimina el archivo original; es decir, el gusano sobrescribe estos archivos con su código y los renombra con la extensión VBS. Por ejemplo, "TEST.JS" becowes "TEST.VBS".
• JPG, JPEG: el gusano hace lo mismo que arriba, pero agrega una extensión ".VBS" al nombre completo del archivo (no cambia el nombre a ".VBS"). Por ejemplo, "PIC1.JPG" se convierte en "PIC1.JPG.VBS".
• MP2, MP3: el gusano crea un nuevo archivo con una extensión ".VBS" (para "SONG.MP2", el gusano crea el archivo "SONG.MP2.VBS"), escribe su código allí y establece el atributo de archivo " oculto "para el archivo original.

Otras variantes

El gusano en sí es un programa de script de texto y se propaga en forma de fuente de texto. El código del gusano puede ser fácilmente modificado por los hackers, y como resultado, hay muchas variantes del gusano original. La mayoría de ellos son solo remakes menores y difieren del gusano original en detalles: hay cambios en el texto de los campos de mensaje, diferentes nombres de archivos, diferentes conjuntos de extensiones de archivos de disco afectados (por ejemplo, .BAT e .INI).

El Asunto, el cuerpo del mensaje y el nombre del archivo adjunto en diferentes variantes aparecen como se enumeran a continuación (el primer bloque pertenece a la versión original del gusano):

 Asunto / cuerpo / adjuntar nombre TE AMO   amablemente revise el LOVELETTER adjunto que viene de mí. LOVE-LETTER-FOR-YOU.TXT.vbs Confirmación del pedido del día de la madre   Hemos procedido a cargar su tarjeta de crédito por la cantidad de $ 326.92   para el día especial de las madres diamante. Hemos adjuntado un detallado   factura a este correo electrónico Imprima el archivo adjunto y guárdelo en una   lugar seguro. ¡Gracias otra vez y ten un feliz dia de las madres!   mothersday@subdimension.com mothersday.vbs fwd: Broma    - no hay cuerpo de mensaje en el mensaje Very Funny.vbs Susitikim shi vakara kavos puodukui ...   amablemente revise el LOVELETTER adjunto que viene de mí. LOVE-LETTER-FOR-YOU.TXT.vbs ¡Importante! Lea cuidadosamente !!   Verifique el adjunto ¡IMPORTANTE viniendo de mí! IMPORTANTE.TXT.vbs Advertencia de virus peligroso   Hay un virus peligroso circulando.   Haga clic en la imagen adjunta para verla y aprender a evitarla. virus_warning.jpg.vbs ¡Cómo protegerse del error IL0VEY0U!   Aquí está la manera fácil de arreglar el virus del amor. Virus-Protection-Instructions.vbs Gracias por volar con Arab Airlines   Verifique si la factura es correcta abriendo el archivo adjunto. ArabAir.TXT.vbs Bewerbung Kreolina   Sehr geehrte Damen und Herren! BEWERBUNG.TXT.vbs ¡MIRA!   jeje ... mira esto. LOOK.vbs Prueba de variantes   Esta es una variante del virus vbs. IMPORTANTE.TXT.vbs Sí, sí, otra vez a la MUERTE ...   Este es el Asesino para VBS.LOVE-LETTER.WORM. Vir-Killer.vbs ¡No puedo creer esto!   No puedo creer que acabo de recibir este correo electrónico de odio ... ¡Echa un vistazo! KillEmAll.TXT.vbs Nueva variación en LOVEBUG Update Anti-Virus !!   Ahora hay una nueva variante de error de amor. Fue lanzado en   8:37 PM el sábado por la noche. Por favor, descargue el parche de encendido de fo.   Estamos tratando de aislar el virus. Gracias Symantec. antivirusupdate.vbs IMPORTANTE: Virus oficial y corrección de errores   Este es un virus oficial y solución de errores. Lo obtuve de nuestro administrador del sistema.   Puede tomar un poco de tiempo actualizar los archivos de su sistema después de ejecutar el   adjunto archivo. Error y virus fix.vbs Ataques recientes de virus-Fix   Adjunto hay una copia de un script que revertirá el efecto de   la LOVE-LETTER-TO-YOU.TXT.vbs, así como también la FW: JOKE,   Día de la Madre y Hermanos Lituanos. BAND-AID.DOC.vbs PresenteUOL   O UOL tem um grande presente para voce, e eh exclusivo.   Veja o arquivo em anexo.   http://www.uol.com.br UOL.TXT.vbs ERROR DE ERROR Y VIRUS   Lo obtuve de nuestro administrador del sistema. Ejecuta esto para ayudar a pervertir un reciente o reciente   futuros errores y ataques de virus. Puede tardar un poco hasta actualizar sus archivos. PRINCIPAL ERROR Y VIRUS FIX.vbsCONTRASEÑAS DE SEXO GRATUITAS   Echale un vistazo ; CONTRASEÑAS SEXUALES GRATUITAS. CONTRASEÑAS SEXUALES GRATUITAS.HTML.vbs ¡Puede ganar $ 1,000,000! 1 clic fuera   amablemente revise el WIN adjunto proveniente de mí. WIN.vbs Advertencias de Virus !!!   MUY IMPORTANTE POR FAVOR, LEA ESTE TEXTO. ANEXO DE TEXTO. very-important-txt.vbs CÓMO VENCER VIRUS   amablemente revise la INFORMACIÓN DE VIRUS adjunta que viene de mi parte.   Así es como puedes ser inmune a cualquier virus. ¡Realmente ayuda mucho! HOW_TO_BEAT_VIRUSES.TXT.vbs¡Debes leer esto!   ¿Has leído este texto? ¡¡Debes hacerlo!! C: NOTES.TXT.exe¡Nuevo virus descubierto!   ¡Un nuevo virus ha sido descubierto! Su nombre es @ - @ Alha y Omega @ - @.   La lista completa de habilidades de virus está incluida en el archivo adjunto @ - @ info.txt @ - @.   Para obtener la última información, vaya a la página web de McAfee   Por favor, envíe este mensaje a todos sus seres queridos. info.txt.vbs ¡Querría que estés aquí!   ¡Querría que estés aquí! ¡Me lo estoy pasando genial! ¡Ojalá estuvieras aquí! .postcard.vbs