Tal y como vaticinábamos en el aviso preliminar de “una-al-día”,
las variantes de este gusano no han tardado en aparecer, debido
en gran medida a que se trata de un espécimen muy fácil de
interpretar y modificar. A continuación ofrecemos una breve
pincelada de las diferentes versiones conocidas hasta el momento
según información proporcionada por Symantec.
VBS.LoveLetter.A (original)
Fichero adjunto: LOVE-LETTER-FOR-YOU.TXT.vbs
Asunto: ILOVEYOU
Cuerpo del mensaje: kindly check the attached LOVELETTER coming
from
me.
VBS.LoveLetter.B (alias “Lithuania”)
Fichero adjunto: LOVE-LETTER-FOR-YOU.TXT.vbs
Asunto: Susitikim shi vakara kavos puodukui…
Cuerpo del mensaje: kindly check the attached LOVELETTER coming
from
me.
VBS.LoveLetter.C (alias “Very Funny”)
Fichero adjunto: Very Funny.vbs
Asunto: fwd: Joke
Cuerpo del mensaje: [vacio]
VBS.LoveLetter.D (alias “BugFix”)
Fichero adjunto: LOVE-LETTER-FOR-YOU.TXT.vbs
Asunto: ILOVEYOU
Cuerpo del mensaje: kindly check the attached LOVELETTER coming
from
me.
Nota: en el registro de Windows: WIN- -BUGSFIX.exe en vez de
WIN-BUGSFIX.exe
VBS.LoveLetter.E (alias “Mother’s Day”)
Fichero adjunto: mothersday.vbs
Asunto: Mothers Day Order Confirmation
Cuerpo del mensaje: We have proceeded to charge your credit card
for
the amount of $326.92 for the mothers day diamond special. We have
attached a detailed invoice to this email. Please print out the
attachment and keep it in a safe place.Thanks Again and Have a
Happy
Mothers Day! mothersday@subdimension.com
Nota: mothersday.HTM enviado por IRC. Comentario en el código: rem
hackers.com, & start up page to hackes.com, l0pht.com, or 2600.com
VBS.LoveLetter.F (alias “Virus Warning”)
Fichero adjunto: virus_warning.jpg.vbs
Asunto: Dangerous Virus Warning
Cuerpo del mensaje: There is a dangerous virus circulating. Please
click attached picture to view it and learn to avoid it.
Nota: Urgent_virus_warning.htm
VBS.LoveLetter.G (alias “Virus ALERT!!!”)
Fichero adjunto: protect.vbs
Asunto: Virus ALERT!!!
Cuerpo del mensaje: a long message regarding VBS.LoveLetter.A
Nota: FROM support@symantec.com. Esta variante también sobrescribe
ficheros con extensión .bat y .com
VBS.LoveLetter.H (alias “No Comments”)
Fichero adjunto: LOVE-LETTER-FOR-YOU.TXT.vbs
Asunto: ILOVEYOU
Cuerpo del mensaje: kindly check the attached LOVELETTER coming
from
me.
Nota: las líneas de comentario han sido eliminadas.
VBS.LoveLetter.I (alias “Important! Read carefully!!”)
Fichero adjunto: Important.TXT.vbs
Asunto: Important! Read carefully!!
Cuerpo del mensaje: Check the attached IMPORTANT coming from me!
Notas: línea de comentario: by: BrainStorm / @ElectronicSouls.
También copia los ficheros ESKernel32.vbs y ES32DLL.vbs, y
añade comentarios al script.ini de mIRC referentes a BrainStorm
y ElectronicSouls, así como envía el archivo IMPORTANT.HTM a
través de DCC.
Más información:
Anti-Love, utilidad gratuita de Panda Software:
http://www.pandasoftware.es/main.asp?id=185&idioma=1
Symantec:
http://www.symantec.com/
NAi:
http://www.mcafeeb2b.com/asp_set/anti_virus/alerts/intro.asp
Especial LoveLetter:
http://ibrujula.com/especiales/2000/indepth_virus.htm
bernardo@hispasec.com
Deja un comentario