Asunto: Important message for [destinatario]

Texto:
This is the attached file you asked from me.

Archivo adjunto: [Cualquier archivo .VBS]

Una de las primeras versiones que se propagaron, tenía como adjunto el archivo "KellyInWhite.jpg.vbs", pero debido a sus características, puede llegar a tener cualquier otro nombre (con extensión .VBS).

Debido a la forma de propagarse, es posible que el destinatario reciba más de una copia del mensaje infectado.

Si ejecutamos este adjunto (doble clic), el gusano libera una copia de si mismo (cómo XMLDRIVER32.DLL.VBS) en la carpeta SYSTEM de Windows (C:\WINDOWS\SYSTEM en una instalación estándar):

C:\WINDOWS\SYSTEM\XMLDriver32.dll.vbs

No realiza modificaciones en el registro.

Luego lista todas las unidades de disco (locales y unidades mapeadas de red), buscando archivos con estas extensiones:

vbs
vbe
js
jse
css
wsh
sct
hta
jpg
jpeg
mp3
mp2
xml
php3
htm
wav
bmp
doc
rtf
xls
ppt
wri
mdb
zip
rar
arj
pdf
mid
gif
avi
hlp
frm
mp4
c
pl
pas
ps
tif
wpd
fm
mk5
asp
txt
chm
gz
tar
wsc
mht
htt
lha
lzh
pcx
pif

El gusano procede a copiarse a si mismo con todos los nombres que contengan esas extensiones, pero agregando la extensión .VBS y borrando luego el archivo original.

Por ejemplo: un archivo IMAGEN.JPG sería borrado, después que el virus se copiara a un archivo al que llamaría IMAGEN.JPG.VBS, y cuyo tamaño será de 3876 bytes.

Si el gusano detecta instalado el mIRC en la PC infectada, libera en el directorio del programa un archivo SCRIPT.INI con las instrucciones necesarias para propagarse a través de los canales de IRC.

Finalmente, el gusano se propaga a si mismo a través del Microsoft Outlook, utilizando todos los contactos de su libreta de direcciones. El primer destinatario es incluido en el campo "Para:", y los demás en el campo "CCO:".

El código del gusano, es básicamente una variante de la familia del Loveletter (ILOVEYOU). Esta versión agrega tres espacios vacíos al comienzo de cada línea de instrucción.

En su código, aparece este comentario:

rem (c) 2001 created by Felix The Cat.
rem Special for Linda Indrawati at STTS University, Surabaya, Indonesia.
rem Happy Birthday Linda (17 - 12 - 1977). 
rem This is a Linda v1.3......... A short name of Linda Indrawati

Posee un sistema de protección contra errores, con el que evita que algún problema durante su ejecución, detenga su acción y muestre un mensaje del sistema.

Si se infecta, para borrarlo de su sistema, utilice un antivirus actualizado y borre todos los archivos infectados.

Por sus características, la remoción del virus de un sistema infectado, no recupera los archivos borrados por el gusano, debiéndose recuperar los mismos desde copias de respaldo, o reinstalando Windows de cero.

El virus no modifica el registro, siendo de acción directa (actúa al ser abierto el archivo adjunto infectado, o cualquier otro archivo infectado).

Para protegerse de este tipo de virus, siga los consejos dados en estos artículos:

VSantivirus No. 231
24/feb/01 - Algunas recomendaciones sobre los virus escritos en VBS

VSantivirus No. 219
12/feb/01 - San Valentín y los virus. Consejos para todo el año

Vea también:

VSantivirus No. 147
02/dic/00 - ¿Extensiones de Archivo? ¿Y eso qué es?

VSantivirus No. 162
17/dic/00 - Cinco dudas sobre el correo electrónico y los virus

VSantivirus No. 125
10/nov/00 - La primera línea de defensa contra los virus: USTED

VSantivirus No. 104
07/may/00 - Especial sobre el LoveLetter

Fuente: Symantec, Network Associates, Computer Associates, Sophos, Panda