| |
Sábado 20 de mayo de 2000 - Ultima modificación 14.30.
Virus: VBS/NewLove-A
Alias: VBS/Loveletter.ed, VBS/Loveletter.Gen, VBS_SPAMMER, VBS.Loveletter.FW.A, NEWLOVE.A, VBS/Spammer.A, VBS.Loveletter.FW, Spammer, Newlove.
Tipo: Worm de Visual Basic Script (VBS)
El NewLove, es muy similar al original LoveLetter, y a todas sus variantes. Su principal diferencia es que intenta borrar TODOS los archivos de nuestro PC y de las unidades de disco conectadas en red.
Es un gusano (worm) polimórfico y muy destructivo. Se propaga a través de mensajes de e-mail y del Outlook.
Usted recibe un mensaje que en "Asunto:" se incluye un "FW:", seguido del nombre de un archivo cualquiera. Adjunto, viene un archivo cuya verdadera extensión está oculta (a menos que
haya seguido nuestros consejos de "Especial sobre el LoveLetter",
"Habilitar la opción para poder ver las extensiones verdaderas de los
archivos". O sea un típico NOMBRE.EXTENSION_FALSA.VBS, por ejemplo:
"Nombre.TXT.VBS".
Si pinchamos en el adjunto el gusano se envía a si mismo a cada uno de los contactos de nuestra libreta de direcciones, igual a como lo hace el LoveLetter. Y también intentará borrar TODOS nuestros archivos.
NewLove se copia en los directorios Windows y Windows\System, con un nombre seleccionado al azar, con una doble extensión, usando cualquiera de las siguientes combinaciones:
.DOC.VBS
.XLS.VBS
.MDB.VBS
.MMP.VBS
.MP3.VBS
.TXT.VBS
.JPG.VBS
.GIF.VBS
.MOV.VBS
.URL.VBS
.HTM.VBS
.TXT.VBS
También modifica el registro, para ser ejecutado cada vez que Windows se inicia, utilizando las clásicas ramas:
HKEY_LOCAL_MACHINE\
Software\Microsoft\Windows\CurrentVersion\Run\
HKEY_LOCAL_MACHINE\
Software\Microsoft\Windows\CurrentVersion\RunServices\
Los nombres generados aleatoriamente, suelen no tener sentido (Ej.:
"FHKIIERERVCVFHG.TXT.vbs", "UTEDBVLHES.JPG.vbs").
Genera también un archivo infectado en la carpeta \Windows\System, cuyo nombre es tomado de la lista de archivos recientes, los mismos que se ven en Inicio, Documentos, o en la carpeta \Windows\Recent). Si no encuentra ninguno de estos, es cuando genera un nombre al azar, con las
dos extensiones .XXX.VBS).
Para dificultar su reconocimiento, el propio gusano modifica su código con una rutina polimórfica que añade en forma aleatoria cientos de líneas de comentarios mezcladas con su propio código.
Este archivo es el que envía a todos los contactos de la libreta de direcciones del Outlook.
La rutina destructiva del NewLove, es borrar TODOS los archivos de TODAS las unidades de disco locales y de red, y crear archivos infectados con el mismo nombre del archivo original, al que se le agrega la extensión ".VBS". Por ejemplo, borra un archivo
NOMBRE.DOC y crea un NOMBRE.DOC.VBS. Pero esto lo hace con TODOS los archivos.
Debido a un error en su código (bug) no logra copiarse en los archivos que genera para sustituir a los originales, quedando estos con una longitud de cero bytes.
Los antídotos para este virus ya están disponibles en nuestro sitio (F-Prot, AVP, Mcafee, Sophos, Norton, etc.). El archivo
"AVP Script Checker" de AVP, una herramienta FREEWARE que
usted puede bajar de nuestro sitio, es capaz de identificar este y cualquier virus similar que intente ejecutar una rutina maliciosa desde un ejecutable con extensión .VBS (Visual Basic Script). El AVP Script Checker requiere tener instalado el AVP Monitor, parte del paquete antivirus
AVP, cuya evaluación también puede bajar de nuestro sitio.
También le recomendamos la utilidad VBProtect 1.2
(FREEWARE) que le avisa cuando cualquier archivo VBS (Visual Basic Script) es ejecutado en su PC. Esto lo proteje de ejecuciones de virus
similares al NewLove, LoveLetter, etc.
Las recomendaciones dadas sobre el LoveLetter son totalmente válidas para el NewLove, como las de
mostrar las verdaderas extensiones de los
archivos, o las de desactivar el Windows Scripting Host
(WSH). Puede ver esta información en nuestro sitio, en la sección
"Especial sobre el LoveLetter".
Más información:
"Especial sobre el LoveLetter".
|
|
