Gusano VBS/LoveLetter.A
Características del gusano VBS/LoveLetter.A (ver imagen)
VBS/LoveLetter.A es un gusano basado en e -mail El gusano VBS (Visual Basic Script) llega a su buzón de correo como un archivo adjunto de correo electrónico (ver imagen) y el asunto del correo electrónico es ILOVEYOU (todo en mayúsculas, sin espacios).
Texto del correo electrónico:
Por favor, revisa el archivo adjunto LOVELETTER de mi correo electrónico lo antes posible.
El correo electrónico tiene un archivo adjunto llamado LOVE-LETTER-FOR-YOU.TXT.vbs. La visualización de la extensión .VBS depende de la configuración del sistema.
Si recibe un correo electrónico que coincide con lo anterior, no abra el archivo adjunto y elimine el correo electrónico inmediatamente.
El gusano LoveLetter se propaga generando correos electrónicos como se describe anteriormente. El gusano en sí se incluye como un archivo adjunto en el correo electrónico y se envía a todos los destinatarios en la libreta de direcciones de Outlook. En organizaciones grandes, la gran cantidad de correo electrónico generado puede sobrecargar el servidor de correo electrónico y detenerlo.
El objetivo del gusano LoveLetter es Windows 98, la instalación predeterminada de Windows 2000 y Windows NT 4.0, y el sistema Windows 95 con el motor Windows Scripting Host (WSH) instalado. El gusano se copia a sí mismo en varios subdirectorios con diferentes nombres:
El nombre del archivo en el directorio de Windows es Win32DLL.vbs, y los archivos en el directorio \Windows\system se denominan MSKernel32.vbs y LOVE-LETTER - PARA-TI.TXT.vbs.
El gusano LoveLetter modifica la información del registro para poder ejecutarse en el siguiente inicio:
HKElkjhflkafkljhsajdkhfkajshfklafhlkajfhs
C:\WINDOWS\SYSTEM\MSKernel32.vbs p>
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win
32DLL=C:\WINDOWS\Win32DLL.vbs
El gusano también establece el valor predeterminado IE (página de inicio de Internet Explorer, descargue una copia del archivo WIN_BUGFIX.exe, que parece ser un "servidor de puerta trasera". La verdadera ubicación del archivo en la Web está actualmente cerrada. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WinFAT32=C:\WINDOWS\SYSTEM\WinFAT32
El gusano LoveLetter busca en todos los subdirectorios y sobrescribe la extensión JPG con una copia de sí mismo. VBS, JS, JSE, CSS, WSH, SCT, HTA, MP3 y MP2, agregue la extensión VBS al nombre del archivo sin el sufijo VBS (no VBS). Por ejemplo: un archivo llamado se convertirá en. La próxima vez que se haga clic o se active un archivo infectado, el gusano comenzará a propagarse.
Si un cliente IRC (sistema de chat en línea) está presente en el sistema, el gusano LoveLetter generará un archivo HTML y se enviará al canal IRC.