VSantivirus No. 354 - Año 5 - Miércoles 27 de junio de 2001
Nombre: VBS/LoveLetter.cq@MM
Tipo: Gusano de Visual Basic Script
Alias: VBS.LoveLetter.CQ (NAV)
Fecha: 26/jun/01
Tamaño: 10,175 bytes
Esta variante del LoveLetter (ILOVEYOU), es liberada por el W95/Linong@MM.
Cuando este script se ejecuta, el gusano crea copias de si mismo en las siguientes ubicaciones:
C:\Windows\mylinong.jpg.shs
C:\Windows\System\Kern32Lin.vbs
C:\Windows\Vbrun32DLL.vbs
C:\Windows\System\mylinong.jpg.vbs
También crea una aplicación HTML en la carpeta temporal de Windows (generalmente
C:\Windows\TEMP):
C:\Windows\TEMP\mylinong.hta
Cuando este archivo se ejecuta, se muestra el siguiente texto en pantalla:
I L
o v e Y o u
L i n o n g
You are the love of my love, 5173n1n3ty31gh7
Almost One Year.., Miss U
01*29**879
01*29**868
*¿*
El registro de Windows es modificado de modo que el gusano se cargue en cada reinicio del sistema:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Kern32lLin = C:\Windows\System\Kern32Lin.vbs
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Vbrun32DLL = C:\Windows\vbrun32DLL.vbs
La página de inicio por defecto del Internet Explorer, es cambiada por la siguiente:
http://www.thewebpost.com/lovepoems/1198/dpt112098ily.shtml
El script intenta luego enviar el siguiente mensaje a todos los contactos de la libreta de direcciones del Outlook:
Asunto: One of this mail
Texto: True Story....
Archivo adjunto: mylinong.exe
Este archivo (mylinong.exe) también es liberado por el
W95/Linong@MM.
Finalmente, el virus intentará conectarse a alguna máquina que comparta su unidad
C (ver "VSantivirus No. 212 - Año 5 - Lunes 5 de febrero de 2001, Como deshabilitar compartir archivos con TCP/IP"), buscando una dirección IP al azar. Si lo logra, se copiará a si mismo a la carpeta de inicio de esa máquina, como
linong.vbs.
Como sacar el virus de un sistema infectado
Para eliminar el virus manualmente, siga estos pasos:
1. Primero ejecute un antivirus al día.
2. Use REGEDIT para borrar las claves agregadas en el registro. Para ello, desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter.
3. Luego, en el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
software
Microsoft
Windows
CurrentVersion
Run
4. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre
la siguiente entrada:
Kern32lLin
5. En la ventana de la izquierda, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
software
Microsoft
Windows
CurrentVersion
RunServices
6. Pinche en la carpeta "RunServices" y en el panel de la derecha busque y borre la siguiente entrada:
Vbrun32DLL
7. Utilice el menú "Registro", "Salir" para salir del editor y confirmar los cambios, y reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
8. Busque y elimine los siguientes archivos, si estos se encuentran en su sistema:
C:\Windows\mylinong.jpg.shs
C:\Windows\System\Kern32Lin.vbs
C:\Windows\Vbrun32DLL.vbs
C:\Windows\System\mylinong.jpg.vbs
C:\Windows\TEMP\mylinong.hta
C:\Windows\System\MyLinong.Exe
C:\Windows\Menú Inicio\Programas\Inicio\linong.vbs
9. Vaya a la papelera de reciclaje en el escritorio, pinche con el botón derecho sobre ella y seleccione "Vaciar la papelera de reciclaje".
10. Ejecute uno (o más) antivirus actualizados para revisar y limpiar su sistema.
Finalmente, cambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia.
Nota: Este virus es parte de
W95/Linong@MM. Vea también su descripción para eliminar correctamente ambos virus de su sistema.
Ver también:
27/jun/01 - W95/Linong@MM. Envío masivo. Libera el LoveLetter.cq
07/may/00 - Especial
sobre el LoveLetter
Fuente: Network Associates
(c) Video Soft - http://www.videosoft.net.uy
|
