Se ha estado reportando un nuevo gusano, que se esta esparciendo a velocidad alarmante en Europa y en partes de Estados Unidos, es un gusano semejante a Melissa, por lo que esta saturando las redes al generar miles de correos.

El gusano viene en un correo que dice

"ILOVEYOU"

el attachment se llama

LOVE-LETTER-FOR-YOU.TXT.VBS.

funciona con Outlook y mIRC

Si les llega borren ese attachment (archivo adjunto) inmediatamente sin abrirlo.

Practiquen computacion segura.

mas informacion en: http://www.wired.com/news/technology/0,1282,36119,00.html

• .i. vbs.loveletter.a
• .ii Eliminacion Manual

 
     Alias:             : Love Letter, Love Bug
   Forma de infeccion : attachment en correos
   Area de infeccion  : Outlook, mIRC
   Caracteristicas    : gusano , vbscript
    

A las 4 AM del dia 4 de mayo, la compañia F-secure lanzo una alerta al identificar un gusano especialemnte agresivo, que temporalmente se le ha dado el nombre de Love Bug. Funciona con la misma tecnica de Melissa al distribuirse a traves de Outlook a todas las direcciones que tenga el directorio de Outlook.

Ademas modifica "Internet Explorer" para bajar de la red una version mas reciente.

Se ha reportado que el gusano borra los archivos mp3, mp2, jpg, gif en las unidades de disco fijas y montadas en red. (Actualizacion: posteriormente de descubrio que borraba los archivos jpg y los demas solo los marcaba como archivos ocultos. )

Ademas corrompe los archivos vbe, vbs, js, jse, css, wsh y sct al sobreecribirlos con copias de su propio codigo

Este gusano es un programa escrito en vbscript, y ha logrado esparcirce debido a que los programas antivirus y filtros de corrreo electronico y firewalls no estan programados para escanear la extension ".txt.vbs"

El gusano se cree que es originario de las Filipinas, donde era llamado "The Manila Killer" Llega en un correo electronico con el nombre "ILOVEYOU". El correo contiene un mensaje de una sola linea que dice:

 
  
   "kindly check the attached
    LOVELETTER coming from me"     
   "amablemente, revise la carta de amor que le envio"   
  

El archivo incluido se llama

 
    LOVE-LETTER-FOR-YOU.TXT.VBS
    

Si se habre el attachment, el gusano envia copias de si mismo a todas las direcciones en el directorio de Outlook, tambien infecta los archivos VBS en el disco duro y sobreescribe loas archivos jpg y html con su propio codigo, busca los scripts de chat del mIRC, si los encuentra inserta su propio script y despues se envia a si mismo a todas los contactos del mIRC que se encuentren en la libreta de direcciones/

Ademas modifica la pagina de entrara de Internet Explorer para que al abrirlo apunte a una direccion espeficia para bajar un archivo que se llama BUGFIX.exe de internet, el gusano baja al azar 4 versiones diferentes de este archivo, por lo que aun no es claro su proposito, sin embargo esto sugiere que el gusano tiene componentes dinamicos y se puede modificar.

Zymantec le ha puesto el nombre de "vbs.loveletter.a"

Hasta ahora el mayor daño reportado es que esta saturando las redes con miles de copias de su mensaje.

En la mañana del 4 de mayo se reporto que interrumpio las redes de: Jonson Space Center en Houston, Jet Propulsion Lab, Philips Customer Call Centers, and Ticketmaster Citysearch.

Hay reportes de inglaterra, Singapur y Hong Kong.

La mejor forma es recurrir a su programa antivirus.

F-secure, Zymantec, Trend Micro y McCaffe ya tiene listas actualizaciones de sus antivirus, por lo que sugiero bajarlas en cuanto sea posible, sin embargo los sitios parecen estar saturados, por lo que incluyo la eliminacion manual.

Estas instrucciones no debe ejecutarse a menos que este familizarizado con el registro de Windows.

---

Borrar los archivos del virus

En el directorio C:WINDOWS borrar wind32dll.vbs

En el directorio c:WINDOWSSYSTEM borrar:

• . mskernel32.vbs
• . Love-Letter-for-you.htm
• . Love-Letter-for-you.txt.vbs

Ir a configuracion de windows y en opciones de internet busque la pagina de inicio por default. Borre la direccion que esta marcada y cierre la configuracion.

ejecute el programa REGEDIT.EXE y busque las siguientes claves:

 
       MSKernel32.vbs
     WIN32dll.vbs
     WIN-BUGSFIX.exe.
    

Si existen estas claves, hay que borrarlas.

• HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunMSKernel32
• HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesWin32DLL
• HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunWIN-BUGSFIX

Entre al directorio de mIRC y borre el archivo script.ini

En cuanto se posible baje la actualizacion de su antivirus para localiza a los archivos infectados.