Nombre: VBS/LoveLetter (alias VBS/LoveLetter.A, The Love Bug, I LOVE YOU)
Asunto: ILOVEYOU
Archivo adjunto: LOVE-LETTER-FOR-YOU.TXT.vbs 
Archivo HTML: LOVE-LETTER-FOR-YOU.HTM
Archivos generados: MSKernel32.vbs Win32DLL.vbs WinFAT32.exe
Archivos descargados: WIN-BUGSFIX.exe
Archivos sobrescritos: vbs vbe js jse css wsh sct hta jpg jpeg
Archivos ocultos:  mp3 mp2
Texto del mensaje: 

kindly check the attached LOVELETTER coming from me.

Esta es la versión original y existen al menos 5 variantes con las mismas características aquí presentadas y solo pequeñas modificaciones.

Este virus intenta extenderse de varias maneras. La principal es como archivo adjunto a un mensaje (de unos 10k aprox)

El adjunto se llama LOVE-LETTER-FOR-YOU.TXT.VBS, que tiene dos extensiones. Si nuestro Windows está configurado para no mostrar las extensiones de archivos conocidos, el nombre que veremos será LOVE-LETTER-FOR-YOU.TXT, pensando se trata de un archivo de texto. Sin embargo, al pinchar en él, se ejecutará como un archivo VBS (Visual Basic Script).

Para que esto ocurra, se requiere que tengamos instalado en nuestro PC el Windows Scripting Host (WSH). Si usted desactiva esta opción (WSH), el virus será totalmente inofensivo.

El virus crea un archivo .HTM capaz de extender al virus, y un script de mIRC con las mismas características, pero capaz de realizar la propagación a través de los canales de chat.

Verifica además el contenido del directorio de descarga del Internet Explorer, en busca del archivo "WinFAT32.exe". Si ese archivo no existe, el virus escoge al azar uno de cuatro sitios para ponerlo como "Página de Inicio" del navegador. Estos sitios apuntan a un archivo ejecutable, llamado "WIN-BUGSFIX.exe", el cuál será descargado a nuestra computadora. El registro también es modificado para poder ejecutar dicho archivo al reiniciarse el PC. Este archivo (WIN-BUGSFIX) es identificado por algunos antivirus (Sophos), como Troj/LoveLet-A o Troj/LoveLetter.A

Luego de ello, la página de inicio del Explorer es puesta en blanco (como la opción "Usar página en blanco").

El virus se copia a si mismo en dos lugares del directorio SYSTEM, donde se ejecutará cada vez que la computadora se reinicie.

Si usted usa Outlook como programa de correo, el virus intentará enviarse a si mismo a cada uno de los contactos de su libreta de direcciones.

El virus también explora todos los discos locales y unidades en red, en busca de archivos con las extensiones VBS, VBE, JS, JSE, CSS, WSH, SCT o HTA. Estos archivos son sobrescritos con el propio virus, cambiándose su extensión a .VBS. Por ejemplo un archivo NOMBRE.JSE quedará como NOMBRE.VBS. El archivo original se pierde y será imposible recuperarlo.

Cualquier archivo JPG o JPEG también será borrado (sobrescrito) por el virus, pero se le agregará la extensión .VBS. Por ejemplo un archivo NOMBRE.JPG quedará como NOMBRE.JPG.VBS.

Cualquier archivo MP2 o MP3, primero será sobrescrito por el virus, y luego (el archivo ya infectado) será copiado a un nuevo archivo con la extensión .VBS agregada a su nombre. Los archivos originales son seteados como ocultos (H). Por ejemplo, un archivo NOMBRE.MP3 será sobrescrito por el virus, y guardado con el atributo de oculto, pero además se creará una copia llamada NOMBRE.MP3.VBS

Si el virus encuentra el mIRC instalado en el sistema, colocará un script capaz de enviar el virus a través de este programa a otras computadoras conectadas al mismo canal de chat.

Alias: Very Funny
Asunto: fwd: Joke
Archivo adjunto: Very Funny.vbs
Archivo HTML: Very Funny.HTM
Archivos generados: MSKernel32.vbs Win32DLL.vbs WinFAT32.exe
Archivos descargados: WIN-BUGSFIX.exe
Archivos sobrescritos: vbs vbe js jse css wsh sct hta jpg jpeg
Archivos ocultos:  mp3 mp2
Texto del mensaje: ninguno 

Alias: Lithuania, Susitikim
Asunto: Susitikim shi vakara kavos puodukui...
Archivo adjunto: LOVE-LETTER-FOR-YOU.TXT.vbs
Archivo HTML: LOVE-LETTER-FOR-YOU.HTM
Archivos generados: MSKernel32.vbs Win32DLL.vbs WinFAT32.exe
Archivos descargados: WIN-BUGSFIX.exe
Archivos sobrescritos: vbs vbe js jse css wsh sct hta jpg jpeg
Archivos ocultos:  mp3 mp2
Texto del mensaje:

kindly check the attached LOVELETTER coming from me.

Alias: Mother's Day
Asunto: Mothers Day Order Confirmation
Archivo adjunto: mothersday.vbs
Archivo HTML: mothersday.HTM
Archivos generados: MSKernel32.vbs Win32DLL.vbs
Archivos descargados: ninguno
Archivos sobrescritos: vbs vbe js jse css wsh sct hta ini bat
Archivos ocultos:  mp3 mp2
Texto del mensaje:

We have proceeded to charge your credit card for the amount of $326.92 for the mothers day diamond special.
We have attached a detailed invoice to this email. Please print out the attachment and keep it in a safe place.Thanks Again and Have a Happy Mothers Day! mothersday@subdimension.com

Es una variante del LoveLetter original, que se propaga a través del correo electrónico. Es similar al LoveLetter original, salvo el asunto y el nombre del archivo adjunto, y que al verificar el contenido del directorio de descarga del Internet Explorer, en busca del archivo "WinFAT32.exe", si ese archivo no existe, el virus escoge al azar uno de tres sitios de hackers para ponerlo como "Página de Inicio" del navegador.

El virus se copia también en dos lugares del directorio SYSTEM, donde se ejecuta cada vez que la computadora se reinicia.

Como las otras variantes, si usted usa Outlook como programa de correo, el virus intentará también enviarse a si mismo a cada uno de los contactos de su libreta de direcciones.

El virus también explora todos los discos locales y en red, en busca de archivos con las extensiones VBS, VBE, JS, JSE, CSS, WSH, SCT o HTA. Estos archivos son sobrescritos con el propio virus y se cambia su extensión a .VBS.

Otra variante es que no afecta a los archivos JPG y JPEG, sino a cualquier archivo .BAT o .INI, los que también serán borrados por el virus (sobreescribiéndolo), y se les agregará la extensión .VBS (NOMBRE.BAT quedará como NOMBRE.BAT.VBS).

Cualquier archivo MP2 o MP3, también será sobrescrito por el virus, y copiado a un nuevo archivo con la extensión .VBS agregada. Los archivos originales son seteados como ocultos (H).

Si el virus encuentra el mIRC instalado en el sistema, colocará un script capaz de enviar el virus a otras computadoras conectadas al canal de chat.

Alias: Brainstorm
Asunto: Important ! Read carefully !!
Archivo adjunto: IMPORTANT.TXT.vbs 
Archivo HTML: IMPORTANT.HTM
Archivos generados: ESKernel32.vbs ES32DLL.vbs WinFAT32.exe
Archivos descargados: WIN-BUGSFIX.exe
Archivos sobrescritos: vbs vbe js jse css wsh sct hta jpg jpeg
Archivos ocultos:  mp3 mp2
Texto del mensaje:

Check the attached IMPORTANT coming from me !

Alias: Virus Warning
Asunto: Dangerous Virus Warning
Archivo adjunto: virus_warning.jpg.vbs
Archivo HTML: Urgent_virus_warning.htm
Archivos generados: MSKernel32.vbs Win32DLL.vbs
Archivos descargados: setup24.exe
Archivos sobrescritos: js jse css wsh sct hta wav txt gif doc htm html xls jpg jpeg
Archivos ocultos:  mp3 mp2
Texto del mensaje:

There is a dangerous virus circulating. Please click attached picture to view it and learn to avoid it.

Alias: Symantec Protect
Asunto: Virus ALERT!!! 
Archivo adjunto: protect.vbs
Archivo HTML: protect.HTM
Archivos generados: MSKernel32.vbs Win32DLL.vbs 
Archivos descargados: ninguno
Archivos sobrescritos: vbs vbe js jse css wsh sct hta jpg jpeg com bat
Archivos ocultos:  mp3 mp2
Texto del mensaje:

Dear Symantec customer,
Symantec's AntiVirus Research Center began receiving reports regarding VBS.LoveLetter.A virus early morning on May 4, 2000 GMT.
This worm appears to originate from the Asia Pacific region. Distribution of the virus is widespread and hundreds of thousands of machines are reported infected.
The VBS.LoveLetter.A is an Internet worm that uses Microsoft Outlook to e-mail itself as an attachment.
The subject line of the e-mail reads ILOVEYOU, with the attachment titled LOVE-LETTER-FOR-YOU.TXT.VBS. Once the attachment is opened, the virus replicates and sends an e-mail to all e-mail addresses listed in the address book.
The virus also spreads itself via Internet relay chat and infects files on local and remote drives including files with extensions vbs, vbe, js, sje, css, wsh, sct, hta, jpg, jpeg, mp3, mp2.
Users should exercise caution when opening e-mails with this subject line, even if the e-mail is from someone they know, as that is how the virus is spread. 
Symantec Corp. today announced availability of the virus definition to detect, repair and protect users against the VBS.LoveLetter.A virus.
This definition is available now via Symantec's LiveUpdate and can also be downloaded from the following web sites:
http://www.symantecstore.com/AF74211/promo/loveletter
http://www.digitalriver.com/symantec 

Also as a quick solution Symantec Corp. offers Visual Basic Script to protect your PC against this worm. (See attached.) 

Note! When executed, this script will protect Your PC from being INFECTED by VBS.LoveLetter.A virus. 

Symantec Corporation - a world leader in internet security technology.

Borra archivos .COM y .BAT, y el mensaje suele ser enviado con prioridad 5.

Alias: Bewerbung
Asunto: Bewerbung Kreolina
Archivo adjunto: BEWERBUNG.TXT.vbs
Archivo HTML: BEWERBUNG.HTM
Archivos generados: MSKernel32.vbs Win32DLL.vbs WinFAT32.exe
Archivos descargados: WIN-BUGSFIX.exe
Archivos sobrescritos: vbs vbe js jse css wsh sct hta jpg jpeg
Archivos ocultos:  mp3 mp2
Texto del mensaje:

Sehr geehrte Damen und Herren!

Alias: Important ! Read carefully !
Asunto: Important ! Read carefully !
Archivo adjunto: IMPORTANT.TXT.vbs
Archivo HTML: LOVE-LETTER-FOR-YOU.HTM
Archivos generados: ESKernel32.vbs ES32DLL.vbs WinFAT32.exe
Archivos descargados: WIN-BUGSFIX.exe
Archivos sobrescritos: vbs vbe js jse css wsh sct hta jpg jpeg mp3 mp2
Texto del mensaje:

Check the attached IMPORTANT coming from me !

Alias: Virus Protection Instructions
Asunto: How to protect yourself from the IL0VEY0U bug!
Archivo adjunto: Virus-Protection-Instructions.vbs
Archivo HTML: Virus-Protection-Instructions.htm
Archivos generados: MSKernel32.vbs Win32DLL.vbs 
Archivos descargados: WIN-BUGSFIX.exe
Archivos sobrescritos: vbs vbe js jse css wsh sct hta jpg jpeg
Archivos ocultos:  mp3 mp2
Texto del mensaje:

Here's the easy way to fix the love virus.

Alias: mePhIsToN
Asunto: I Cant Believe This!!
Archivo adjunto: KillEmAll.TXT.VBS
Archivo HTML: KILER.HTM
Archivos generados: killer1.vbs killer2.vbs WinFAT32.exe
Archivos descargados: WIN-BUGSFIX.exe
Archivos sobrescritos: vbs vbe js jse css wsh sct hta gif bmp
Archivos ocultos:  wav mid
Texto del mensaje:

I Cant Believe I have Just Recieved This Hate Email .. Take A Look!

Alias: Arab Air
Asunto: Thank You For Flying With Arab Airlines
Archivo adjunto: ArabAir.TXT.vbs
Archivo HTML: no-hate-FOR-YOU.HTM
Archivos generados: MSUser32.vbs User32DLL.vbs WinFAT32.exe
Archivos descargados: WIN-BUGSFIX.exe
Archivos sobrescritos: vbs vbe js jse css wsh sct hta dll exe
Archivos ocultos:  sys dll
Texto del mensaje:

Please check if the bill is correct, by opening the attached file

Alias: Software Testing
Asunto: Variant Test
Archivo adjunto: IMPORTANT.TXT.vbs 
Archivo HTML: IMPORTANT.HTM
Archivos generados: sndvol32.vbs IEAKDLL.vbs 
Archivos descargados: ninguno
Archivos sobrescritos: vbs vbe mpeg avi qt qtm mpg 
Archivos ocultos:  mpeg mpg
Texto del mensaje:

This is a variant to the vbs virus.

Cambia la página de inicio de Internet Explorer a http://www.astalavista.box.sk

Alias: LOOK (y LOOK2)
Asunto: LOOK!
Archivo adjunto: LOOK.vbs 
Archivo HTML: LOOK.HTM
Archivos generados: MSUser32.vbs User32DLL.vbs WinFAT32.exe
Archivos descargados: WIN-BUGSFIX.exe
Archivos sobrescritos: vbs vbe js jse css wsh sct hta xls mdb
Archivos ocultos: mp3 mp2 (LOOK2 esconde archivos lnk y exe)
Texto del mensaje:

hehe...check this out.

Alias: BAND-AID
Asunto: Recent Virus Attacks-Fix
Archivo adjunto: BAND-AID.DOC.vbs 
Archivo HTML: BAND-AID.HTM
Archivos descargados: ninguno
Archivos sobrescritos: vbs vbe js jse css wsh sct hta bat jpg jpeg gif tif tiff wav lnk bak doc xls rtf txt htm html ml mny zip bmp cab inf mp3 mp2
Archivos ocultos: ninguno
Texto del mensaje:

Attached is a copy of a script that will reverse the effects of the LOVE-LETTER-TO-YOU.TXT.vbs as well as the FW:JOKE, Mother's Day and Lithuanian Siblings.

La página de inicio de Internet es cambiada a http://www.2600.com y realiza unos cambios en el script del mIRC.

Alias: BUG & VIRUS FIX
Asunto: BUG & VIRUS FIX
Archivo adjunto: MAJOR BUG & VIRUS FIX.vbs
Archivo HTML:  MAJOR BUG & VIRUS FIX.HTM
Archivos generados: MSKernel32.vbs Win32DLL.vbs
Archivos sobrescritos: vbs vbe dll exe com sys txt bat mp3 mp2
Texto del mensaje:

I got this from our system admin. Run this to help prevent any recent or future bug & virus attack's. It may take a small while up update your files.

Alias: Presente
Asunto: PresenteUOL
Archivo adjunto: UOL.TXT.vbs
Archivo HTML: UOL.HTM
Archivos generados: MSKernel32.vbs Win32DLL.vbs
Archivos descargados: ninguno
Archivos sobrescritos: vbs vbe js jse css wsh sct hta jpg jpeg
Archivos ocultos:  mp3 mp2 exe com ini
Texto del mensaje:

O UOL tem um grande presente para voce, e eh exclusivo. Veja o arquivo em anexo. http://www.uol.com.br

Cambia la página de inicio de Internet Explorer a: http://www.uol.com.br

Alias: Official virus and bug fix
Asunto: IMPORTANT: Official virus and bug fix
Archivo adjunto: Bug and virus fix.vbs
Archivo HTML: Bug and virus fix.htm
Archivos generados: MSKernel32.vbs Win32DLL.vbs
Archivos descargados: ninguno
Archivos sobrescritos: vbs vbe js jse css wsh sct hta exe com dll sys pwl txt
Archivos ocultos:  ninguno
Texto del mensaje:

This is an official virus and bug fix. I got it from our system admin. It may take a short while to update your system files after you run the attachment.

La página de inicio de Internet es cambiada a http://www.2600.com

Alias: Vir-Killer, Yeah Yeah
Asunto: Yeah, Yeah another time to DEATH...
Archivo adjunto: Vir-Killer.vbs
Archivo HTML: LOVE-LETTER-FOR-YOU.HTM
Archivos generados: ninguno
Archivos descargados: Vir-Killer.exe (no lo descarga)
Archivos sobrescritos: vbs vbe zip rar
Archivos ocultos:  asm pas
Texto del mensaje:

This is the Killer for VBS.LOVE-LETTER.WORM.

La página de inicio de Internet es cambiada a http://www.yahoo.com/Vir-Killer.exe (pero allí no existe este trojan, por lo que no lo baja). No se propaga a través del IRC.

Alias: Lucky
Un intento de reescribir el código original, pero que falla al ejecutarse.

Alias: Unix
Esta variante intenta convertir el virus original a la plataforma Unix. Contiene este comentario en su código:

"This is a demonstration how easy a virus like the LoveLetter virus"
"can be portet to a unix systems"

Alias: ANTI-VIRUS-LISTE
Asunto: NEUE ANTI-VIRUS-LISTE
Archivo adjunto: ANTI-VIRUS-LISTE.TXT.vbs
Archivos sobrescritos: mdb pdf wsh dot hta js drv ini
Archivos ocultos:  xls doc
Texto del mensaje:

Hiermit senden wir Ihnen/Dir eine neue Liste mit LOVE-LETTER-VIRUS Namen, die nicht geoeffnet werden sollen, bitte sofort lesen, danke.

Alias: antivirusupdate
Asunto: New Variation on LOVEBUG Update Anti-Virus!!
Archivo adjunto: antivirusupdate.vbs
Archivo HTML: antivirusupdate.htm
Texto del mensaje:

There is now a newer variant of love bug. It was released at 8:37 PM Saturday Night. Please Download the following patch. We are trying to isolate the virus. Thanks Symantec.

Alias: 3 de septiembre en Roma
Asunto: 3 de septiembre en Roma
Archivo adjunto: 3septiembreroma.TXT.vbs

Alias: Internet Gratis
Asunto: Internet Gratis
Archivo adjunto: Internet.TXT.vbs

Nombre: Troj/LoveLetter-A 
Tipo: Trojan

Este trojan, relacionado con el virus LoveLetter, también ha sido reportado activo.

El virus LoveLetter intenta bajar este trojan de un website determinado (ver la descripción del original), y modifica el registro para que dicho trojan se ejecute cada vez que se reinicia el sistema.

Si el trojan se ejecuta, se copia a si mismo en C:\WINDOWS\SYSTEM\WINFAT32.EXE y modifica el registro para volver a ejecutarse en cada reinicio del PC.

El trojan intenta enviar un mensaje a una dirección electrónica en Filipinas (país del autor del virus) con el asunto "Barok... email.passwords.sender.trojan". Dicho mensaje contiene información del usuario del PC infectado (nombre de usuario, dirección IP asignada, contraseñas de acceso y contraseñas guardadas en el caché de la computadora).

Si este archivo (WINFAT32.EXE) es descubierto en una máquina el mismo debe ser borrado.

Más información: "Especial sobre el LoveLetter".

• Descripción del virus LOVE-LETTER
• La teoría de la conspiración
• Una ruleta rusa
• Un resumen breve
• Como podemos protegernos
  1 - Habilitar la opción para poder ver las extensiones verdaderas de los archivos.
  2 - Deshabilitar el Windows Scripting Host en nuestro PC.
• Cómo eliminar los rastros del LoveLetter después de una infección
• Algunas Preguntas y Respuestas sobre el LoveLetter
• La historia del LoveLetter