loveday14 by Onel2 Melilla, España
feliz san valentin davinia.

El virus utiliza la vulnerabilidad llamada "Scriptlet.TypeLib", que permite una infección aún al visualizar un mensaje infectado en el panel de vista previa del Outlook.

Si la computadora infectada tiene el sistema en español, el crea un archivo llamado loveday14-a.hta en la carpeta de Inicio de Windows:

c:\WINDOWS\Menú Inicio\Programas\Inicio\loveday14-a.hta

Si el lenguaje es otro, genera el archivo en esta ubicación:

c:\WINDOWS\Start Menu\Programs\Startup\loveday14-a.hta

El archivo .HTA se ejecutará en el próximo reinicio de Windows.

El virus creará también un archivo index.html, que infectará la firma del Outlook Express (como el Kak.Worm). De esta manera, la infección se propagará cada vez que el usuario envía un nuevo mensaje, infectando al receptor del mismo.

El virus modifica también la página de inicio del Internet Explorer para que apunte a un sitio en español, el cuál contiene otro virus, llamado VBS/Valentin@MM.

Si el día corriente es 8, 14, 23, o 29, entonces el virus borra el contenido de todas las carpetas del disco C:\, y crea en cada una de ellas, una subcarpeta vacía llamada "happysanvalentin".

Por ejemplo:

Borra el contenido de C:\Windows y luego crea esta carpeta (vacía):

C:\Windows\Happysanvalentin

La presencia de un archivo "loveday14-a.hta" es signo de infección.

La infección se produce cuando el usuario recibe un mensaje de correo infectado, y en algunos casos simplemente al ver el mensaje (con formato HTML) en la vista previa.

Para evitar esto, se recomienda bajar e instalar el parche de Microsoft para la vulnerabilidad "Scriplet.typelib/Eyedog" de esta dirección:
http://www.microsoft.com/TechNet/IE/tools/scrpteye.asp

Para remover este virus de su sistema, deberá proceder con estos pasos:

1. Cierre el Outlook, o cualquier cliente de correo que esté usando.

2. Baje e instale el parche mencionado, si no lo ha hecho antes.

3. Borre los archivos loveday14-a.hta e index.html si este fue modificado por el virus.

4. Borre la firma (archivo) del Outlook, desde Herramientas, Opciones, Firmas.

5. Quite la vista previa del Outlook (Herramienta, Ver, Diseño, Mostrar panel de vista previa)

6. Borre los mensajes recibidos que puedan estar infectados, sin abrirlos (botón derecho, eliminar).

7. Quite el Windows Scripting Host (WSH). Esta característica puede ayudar a automatizar varias tareas dentro de Windows, pero también puede ser explotado por virus como el BubbleBoy y el LoveLetter, virus que no podrán ejecutarse sin el WSH. Para desactivarlo, vaya al Panel de Control (Mi PC, Panel de Control), Agregar o quitar programas, Instalación de Windows, Accesorios, pinche en Detalles, y desmarque "Windows Scripting Host". Reinicie su PC. Si usa Windows Me, utilice otras opciones, como el NOSCRIPT.EXE de Symantec.

8. Deshabilite el Active Scripting. Para ello, abra el Internet Explorer, seleccione Herramientas, Opciones de Internet, Seguridad.

Pinche en Sitios restringidos, y luego en "Personalizar nivel".

Luego, busque la rama "Automatización", y marque la casilla "Desactivar" en estas tres opciones: 

"Automatización de los subprogramas de Java"
"Permitir operaciones de pegado por medio de una secuencia de comandos"
"Secuencias de comandos ActiveX"

Pinche en ACEPTAR y confirme los cambios

Luego abra el Outlook Express, y vaya a Herramientas, Opciones

Seleccione la lengüeta "Seguridad"

Pinche en "Zonas de seguridad", y luego pinche en "Zonas de sitios restringidos (más segura)".

Pinche en ACEPTAR y confirme los cambios

Nota: Debe tener en cuenta que al hacer estos cambios, tal vez algunas páginas y mensajes con formato no serán visualizados correctamente.

Fuente: Network Associates


Ver también:
13/feb/01 - VBS/Valentin@MM. Infección con solo verlo y envío masivo
12/feb/01 - San Valentín y los virus. Consejos para todo el año