Lucero
Páginas: 5 (1108 palabras)
Publicado: 31 de marzo de 2014
ILoveYou
i love (o VBS/LoveLetter) es un gusano escrito en VBScript. En mayo del 2000 infectó aproximadamente 50 millones de computadores provocando pérdidas de más de 5.500 millones dedólares.
Arquitectura del Gusano
El gusano sobrescribe con su código los archivos con extensiones .VBS y .VBE. Elimina los archivos con extensiones .JS, .JSE, .CSS, .WSH, .SCT y .HTA, y crea otros con el mismonombre y extensión .VBS en el que introduce su código. También localiza los archivos con extensión .JPG, .JPEG, .MP3 y .MP2, los elimina, y crea otros donde el nuevo nombre está formado por el nombre y la extensión anterior más VBS como nueva extensión real.1
VBS/LoveLetter llega al usuario en un e-mail que tiene por Asunto: 'ILOVEYOU' e incluye un fichero llamado 'LOVE-LETTER-FOR-YOU. TXT.vbs'.Cuando este virus se ejecuta, crea varias copias de sí mismo en el disco duro con los siguientes nombres:
MSKernel32.vbs (en el directorio SYSTEM de Windows)
Win32DLL.vbs (en el directorio de instalación de Windows)
LOVE-LETTER-FOR-YOU.TXT.vbs (en el directorio SYSTEM de Windows)
Tras esto, el virus crea varias entradas en el registro de configuración de Windows.
VBS/LovelLetter comprueba, enel directorio SYSTEM de Windows, la existencia del fichero WinFAT32.exe. Si lo encuentra genera un número aleatorio entre 1 y 5, y dependiendo del número que resulte, crea la entrada de registro 'HKCU\Software\Microsoft\InternetExplorer\Main\Start, a la que le asigna un valor para bajarse el fichero WIN-BUGSFIX. EXE.1
Tras realizar esta operación, el virus genera, en el directorio SYSTEMde Windows, el fichero LOVE-LETTER-FOR-YOU.HTM, que será el que posteriormente envíe por IRC. Después, el gusano se envía a todas las direcciones que encuentra en el libro de direcciones de Microsoft Outlook.
Cuando ya se ha enviado por correo, VBS/LoveLetter realiza su efecto destructivo. En concreto, busca en el path del disco duro y en el de todas las unidades de red archivos con extensión vbs, vbe,js, jse, css, wsh, sct y hta. Cuando los encuentra, los sobreescribe con su código, modifica su tamaño y les cambia la extensión a VBS, lo que conlleva la pérdida de toda la información contenida en los archivos. Si los archivos que encuentra poseen extensión jpg o jpeg también los sobreescribe, cambia su tamaño y les añade, al final la extensión VBS (quedando como jpg.vbs o jpeg.vbs).1
SiVBS/LoveLetter encuentra un fichero con extensión mp3 o mp2 genera una copia de sí mismo con el nombre del archivo encontrado y añade la extensión VBS ocultando los ficheros originales. El virus también comprueba si en el directorio en el que se está realizando la búsqueda se encuentra alguno de los siguientes ficheros: mirc32.exe, mlinnk32.exe, mirc.ini, scrip.ini o mirc.hlp. Si los encuentra crea elfichero 'script.ini', que será el encargado de mandar por IRC el fichero LOVE-LETTER-FOR-YOU.HTM a todo aquél que se conecte al mismo canal que él.
Persecución de los autores
ILoveYou apareció en internet el 4 de mayo de 2000. El virus se presentó en un principio en forma de mensaje de correo con el asunto "ILOVEYOU" y un archivo adjunto con el nombre "LOVE-LETTER-FOR-YOU.TXT.vbs", que al serabierto, infectaba el ordenador y se autoenviaba a las direcciones de correo que el usuario tuviera en su agenda de direcciones. Comenzó en Filipinas y le bastó un solo día para propagarse por todo el mundo, infectando en Hong Kong, Europa y luego en los Estados Unidos.2
Cinco días más tarde, se reconocían 18 mutaciones del virus.3 Al multiplicarse explosivamente, este gusano condujo a Internet alcolapso.
El día 8 de mayo, Reonel Ramones, un empleado bancario de 27 años, fue detenido en Manila por la Oficina Nacional de Investigaciones (NBI) de la policía de Filipinas y acusado preliminarmente de vulnerar la Ley Normativa sobre Instrumentos de Acceso, cuyo principal objetivo es proteger las contraseñas para las tarjetas de crédito. Sin embargo, fue liberado al día siguiente por orden de...
i love (o VBS/LoveLetter) es un gusano escrito en VBScript. En mayo del 2000 infectó aproximadamente 50 millones de computadores provocando pérdidas de más de 5.500 millones dedólares.
Arquitectura del Gusano
El gusano sobrescribe con su código los archivos con extensiones .VBS y .VBE. Elimina los archivos con extensiones .JS, .JSE, .CSS, .WSH, .SCT y .HTA, y crea otros con el mismonombre y extensión .VBS en el que introduce su código. También localiza los archivos con extensión .JPG, .JPEG, .MP3 y .MP2, los elimina, y crea otros donde el nuevo nombre está formado por el nombre y la extensión anterior más VBS como nueva extensión real.1
VBS/LoveLetter llega al usuario en un e-mail que tiene por Asunto: 'ILOVEYOU' e incluye un fichero llamado 'LOVE-LETTER-FOR-YOU. TXT.vbs'.Cuando este virus se ejecuta, crea varias copias de sí mismo en el disco duro con los siguientes nombres:
MSKernel32.vbs (en el directorio SYSTEM de Windows)
Win32DLL.vbs (en el directorio de instalación de Windows)
LOVE-LETTER-FOR-YOU.TXT.vbs (en el directorio SYSTEM de Windows)
Tras esto, el virus crea varias entradas en el registro de configuración de Windows.
VBS/LovelLetter comprueba, enel directorio SYSTEM de Windows, la existencia del fichero WinFAT32.exe. Si lo encuentra genera un número aleatorio entre 1 y 5, y dependiendo del número que resulte, crea la entrada de registro 'HKCU\Software\Microsoft\InternetExplorer\Main\Start, a la que le asigna un valor para bajarse el fichero WIN-BUGSFIX. EXE.1
Tras realizar esta operación, el virus genera, en el directorio SYSTEMde Windows, el fichero LOVE-LETTER-FOR-YOU.HTM, que será el que posteriormente envíe por IRC. Después, el gusano se envía a todas las direcciones que encuentra en el libro de direcciones de Microsoft Outlook.
Cuando ya se ha enviado por correo, VBS/LoveLetter realiza su efecto destructivo. En concreto, busca en el path del disco duro y en el de todas las unidades de red archivos con extensión vbs, vbe,js, jse, css, wsh, sct y hta. Cuando los encuentra, los sobreescribe con su código, modifica su tamaño y les cambia la extensión a VBS, lo que conlleva la pérdida de toda la información contenida en los archivos. Si los archivos que encuentra poseen extensión jpg o jpeg también los sobreescribe, cambia su tamaño y les añade, al final la extensión VBS (quedando como jpg.vbs o jpeg.vbs).1
SiVBS/LoveLetter encuentra un fichero con extensión mp3 o mp2 genera una copia de sí mismo con el nombre del archivo encontrado y añade la extensión VBS ocultando los ficheros originales. El virus también comprueba si en el directorio en el que se está realizando la búsqueda se encuentra alguno de los siguientes ficheros: mirc32.exe, mlinnk32.exe, mirc.ini, scrip.ini o mirc.hlp. Si los encuentra crea elfichero 'script.ini', que será el encargado de mandar por IRC el fichero LOVE-LETTER-FOR-YOU.HTM a todo aquél que se conecte al mismo canal que él.
Persecución de los autores
ILoveYou apareció en internet el 4 de mayo de 2000. El virus se presentó en un principio en forma de mensaje de correo con el asunto "ILOVEYOU" y un archivo adjunto con el nombre "LOVE-LETTER-FOR-YOU.TXT.vbs", que al serabierto, infectaba el ordenador y se autoenviaba a las direcciones de correo que el usuario tuviera en su agenda de direcciones. Comenzó en Filipinas y le bastó un solo día para propagarse por todo el mundo, infectando en Hong Kong, Europa y luego en los Estados Unidos.2
Cinco días más tarde, se reconocían 18 mutaciones del virus.3 Al multiplicarse explosivamente, este gusano condujo a Internet alcolapso.
El día 8 de mayo, Reonel Ramones, un empleado bancario de 27 años, fue detenido en Manila por la Oficina Nacional de Investigaciones (NBI) de la policía de Filipinas y acusado preliminarmente de vulnerar la Ley Normativa sobre Instrumentos de Acceso, cuyo principal objetivo es proteger las contraseñas para las tarjetas de crédito. Sin embargo, fue liberado al día siguiente por orden de...
Leer documento completo
Regístrate para leer el documento completo.