Sophos

VBS/LoveLet-A

Alias
  • I-Worm.LoveLetter
  • VBS.LoveLetter.A
Categoría
Tipo
Qué hacer
Prevalencia baja alta

Resumen

Acción

Vea la información para eliminar gusanos.

Vea la información (en inglés) para eliminar gusanos.

Más información

Este gusano dispone de varias formas de propagación. La más utilizada es como archivo adjunto en un email.

LoveLetter

El asunto del email será:

ILOVEYOU

Y el mensaje:

kindly check the attached LOVELETTER coming from me.

El nombre del archivo adjunto será LOVE-LETTER-FOR-YOU.TXT.vbs, con doble extensión. Si tiene configurado su sistema para que no muestre las extensiones de archivos conocidos, es posible que sólo vea LOVE-LETTER-FOR-YOU.TXT, lo que parece un inofensivo archivo de texto.

Ya que el código viene en forma de archivos VBS, requiere Windows Scripting Host (WSH) para funcionar (si se encuentra desactivado el gusano no se podrá activar).

El gusano también copia un archivo HTM y un script para mIRC que también pueden propagarlo.

El gusano buscará el archivo WinFAT32.exe en el directorio de descargas de Internet Explorer. Si no existe, el gusano elegirá una de las cuatro direcciones Web que incluye y la establecerá como página de inicio de Internet Explorer. En esta dirección se encuentra el archivo ejecutable WIN-BUGSFIX.exe, que será descargado y ejecutado en el inicio del sistema tras modificar el registro de Windows. Este archivo será detectado por Sophos Anti-Virus como Troj/LoveLet-A.

El gusano se copia en dos sitios en el directorio del sistema desde donde se ejecutará al iniciar el equipo.

El gusano requiere Microsoft Outlook para enviarse a todas las direcciones almacenadas en el libro de direcciones de Windows.

También buscará, en el equipo y unidades de red, archivos VBS, VBE, JS, JSE, CSS, WSH, SCT y HTA, que serán sobrescritos con el código del gusano y cambiados a la extensión .VBS.

Lo mismo pasará con archivos JPG y JPEG, aunque en este caso se añadirá .VBS como segunda extensión de archivo.

Los archivos MP2 y MP3 serán sobrescritos, ocultos y duplicados con la extensión .VBS añadida.

Si el gusano encuentra el programa de chat mIRC, copiará un script que enviará el gusano a otros usuarios.

Si sigue las recomendaciones descritas en el artículo de Sophos Consejos prácticos antivirus es prácticamente imposible que se vea afectado por virus de este tipo.

Todos los archivos infectados deben eliminarse.

RSS|Atom
Recibir informes sobre las amenazas de virus y programas espía más recientes