Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: VBS/LoveLet-CL. Una variante del ILOVEYOU contra Echelon
 
VSantivirus No. 315 - Año 5 - Sábado 19 de mayo de 2001

Nombre: VBS/LoveLet-CL
Tipo: Gusano de Visual Basic Script
Fecha: 16/may/01
Activo: Si

Es una variante del Love-Letter (conocido también como ILOVEYOU). Cuando abrimos el adjunto (ECHELON.VBS) al mensaje recibido que lo contiene, el virus se activa, generando primero, dos copias de si mismo en el disco duro, con los nombres de COMMAND.VBS y WINVXD.VBS. Estos archivos son ejecutados cada vez que Windows se reinicia.

Para poder usar su rutina de propagación, se requiere tener instalado el Microsoft Outlook. Si eso se cumple, el gusano se envía a todas las direcciones de su libreta.

El mensaje enviado tiene estas características:

Asunto: !!!
Texto: :-) MuCuX...
Archivo adjunto: echelon.vbs

El gusano busca luego en todas las unidades de disco local y las mapeadas en red, los archivos con estas extensiones:

VBS
VBE
JS
JSE
CSS
WSH
SCT
HTA

Todos los archivos que cumplan esa condición son sobrescritos con el propio gusano, y luego renombrados como .VBS.

Por ejemplo:

1. Un archivo de nombre PRUEBA.WSH sería sobrescrito por el código del virus. El contenido original de PRUEBA.WSH desaparece.

2. El archivo del virus (PRUEBA.WSH) es renombrado como PRUEBA.VBS

Todos los archivos gráficos con estas extensiones serían sobrescritos por el código del gusano, y al nombre se le agrega la extensión .VBS:

JPG
JPEG

Por ejemplo:

1. Un archivo de nombre PRUEBA.JPG sería sobrescrito por el código del virus. El contenido original de PRUEBA.JPG desaparece.

2. El archivo del virus (PRUEBA.JPG) es renombrado como PRUEBA.JPG.VBS

Todos los archivos con estas extensiones serían sobrescritas por el código del gusano pero el gusano también sería copiado a un nuevo archivo con la extensión .VBS agregada. Los atributos del archivo original serían modificados para marcarlo a este como "oculto" (+H):

MP2
MP3

Por ejemplo:

1. Un archivo de nombre PRUEBA.MP3 sería sobrescrito por el código del virus. El contenido original de PRUEBA.MP3 desaparece.

2. El archivo del virus (PRUEBA.MP3) es copiado como PRUEBA.MP3.VBS

3. Los atributos del archivo PRUEBA.MP3 son puestos como "Oculto" (+H)

Si el gusano determina que el programa de chat mIRC, está instalado en la máquina infectada, crea un script del mIRC con las instrucciones para que este envíe su propio código a los canales de chat.

El gusano contiene una larga lista de comentarios dentro de su código, que no son desplegados. Es muy posible este texto se haya puesto con la idea de sobrecargar el sistema de monitoreo a través del e-mail de la supuesta red de espionaje llamada "Echelon". Para los que afirman que existe, esta red habría sido utilizada desde hace por lo menos dos años, por la Agencia Nacional de Seguridad de los Estados Unidos, como herramienta para rastrear el contenido del correo electrónico y de otro tipo de comunicaciones sin cable, en busca de elementos perjudiciales para la seguridad de dicho país.

Hasta el momento no se han encontrado pruebas que demuestren la existencia real de esta red de espionaje, salvo la opinión del Parlamento Europeo, que dice confirmar su existencia.

Estos son los comentarios:

---[Comienzo]---

Written By Extirpater and beyin. (i am NOT from iraq, and not protecting iraq/islamic anyway) Stop Violence Pentagon. Why are you testing your new weapons on iraq? You are trying to protect children from porn but you are also killing them and other innocent people in iraq... ...and another thing... why are you using echelon type stupid things to listen around...?< Hey others, lets fl00d the echelon... .gov @ NSA national security agency code PGP GPG satellite cia yemen toxin botulinum mi5 mi6 mit kgb .mil mil base64 us defence intelligence agency admiral diplomat alert! begin pgp message cert HQ password secret information Shamil Basaev BATF Tactical information broadcasting service netsec DEA Ayman Al Zawahiri RADINT ETA Fort Meade explosive gun conspiracy primer detonator initiator unicos al amn al-askari cray arpanet node backdoor mi-6 mi-5 terrorism SSCI sairi islamic revolution assembly not for public private korea diplomat wiretap Usame bin Laden DF ZARK SERT VIP ARC S.E.T set ssl hezbollah hizbullah afiwc compusec M51 phsical security division MOSSAD DDos denial of sevice don't try to contact me astel DH breaking machine Xu Yongyue agent agents national infrastructure air command control facility nm info Lieutenant tactical defcon mortars rpg7 propellants defensive evasion boobytraps secure internet rsa uzi buy hrt hk33ke aks-74 galil arm detcord pmk40 silencers timing devices information security naval yard sao reno jics computer terrorism NAIA SAPM ASU ECHELON ASTS RSP ISS JDF NAAP RSO encryption ASWS USDOJ SAMU COSMOS DATTA e99ll bill clinton george bush nash asis seal team 3 MSEE M.P.R.I top secret mossberg sursat 5926 telint fraud analyzer b61-7 sbu err SO13 reojdykarna airframe 510 EuroFed Avi shelter Cryto AG IDP RHL MP5K-SD sniper gign exon shell masuda eada shs NSWF sabotage nitrate Counter terrorism RCMP CTU CQB CONUS BOP CID thief NCSA ISACA ASVC spook words flashbangs magnum resta 777 666 MD2 MD4 MDA 747 boing domestic disruption smuggle Z-200 Security Consulting Keyhole NABS Kilderkin covert video pathfinders oscor merlin ntt sl-1 sr-71 sr71 f117 f-117 cornflower TNT rdx amfo hmtd lead azide styphante ddnp nitrostarch mines grenades rockets fuses nitrocellulose c4 ambush sniping spoof sniff sniffing sniffer motorcade assassination jtf-6 psyops privacy

---[Final]---

Para quitarlo de un sistema infectado, simplemente ejecute un antivirus al día, y borre todas las apariciones del virus.

También elimine del registro (usando REGEDIT), las claves que apunten a los archivos "command.vbs" y "WinVXD.vbs" en esta rama del registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Además, tenga en cuenta que los archivos originales con extensiones VBS, VBE, JS, JSE, CSS, WSH, SCT, HTA, JPG, JPEG, MP2 y MP3 se perderán, a menos que los recupere de un respaldo anterior.


Consejos generales


Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos de personas que realmente conoce, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados.

Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas.

En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos.

Si el sistema no tiene instalado el MS Outlook, el gusano no funcionará.

Tampoco funciona si se tiene desactivado el Windows Scripting Host. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS


Artículos relacionados:


VSantivirus No. 313 - 17/may/01
¿Cuál es la cura para los virus de computadoras? ¡Usted!

VSantivirus No. 219 - 12/feb/01
San Valentín y los virus. Consejos para todo el año

VSantivirus No. 147 - 2/dic/00
¿Extensiones de Archivo? ¿Y eso qué es? por Ignacio M. Sbampato

VSantivirus No. 162 - 17/dic/00
Cinco dudas sobre el correo electrónico y los virus

VSantivirus No. 125 - 10/nov/00
La primera línea de defensa contra los virus: USTED

VSantivirus No. 104 - 07/may/00
Especial sobre el LoveLetter

Fuente: Sophos

(c) Video Soft - http://www.videosoft.net.uy

 

Copyright 1996-2001 Video Soft BBS