Al ejecutar el fichero recibido mediante correo electrónico (Love-Letter-for-you.txt.vbs) o el fichero recibido mediante IRC (Love-Letter-for-you.htm) 
  
  
Descripción breve: 

          VBS/LoveLetter es un gusano que utiliza el correo electrónico y el IRC (canales de Chat) como medio para realizar sus infecciones. Su aparición tuvo lugar el día 4 de Mayo del año 2000. El gusano se envía (como un fichero adjunto o incluido en un mensaje) a todas las direcciones que el usuario infectado guarda en su libreta de direcciones. 

          Para asegurar su infección, genera varias copias de sí mismo en diferentes directorios del disco duro. Además genera el fichero LOVE-LETTER-FOR-YOU.HTM, que será enviado por IRC (canal de Chat), a todos los usuarios conectados con el usuario infectado. 

          El gusano realiza acciones concretas en los ficheros que encuentra por todo el disco duro, así como en todas las unidades de red. Los ficheros afectados perderán su contenido y serán renombrados para que su extensión varíe. Las extensiones objeto del ataque, son las siguientes (aunque no en todos ellos realiza las mismas operaciones): VBS, VBE, JS, JSE, CSS, WSH, SCT, HTA, JPG, JPEG, MP3 ó MP2.  
  
  
Modo de propagación: 
  
          VBS/LoveLetter se envía a sí mismo mediante un fichero (Love-Letter-For-You.Txt.Vbs) adjunto o incluido en un mensaje de correo electrónico, pero también emplea un canal de comunicaciones IRC (Chat). 

          El mensaje de correo electrónico que será enviado tiene las siguientes características: 

          - Asunto: ILOVEYOU 
          - Cuerpo del mensaje: kindly check the attached LOVELETTER coming from me 
          - El fichero incluido en el mensaje es LOVE-LETTER-FOR-YOU.TXT.VBS 

          Al abrir el mensaje y ejecutar el fichero, el gusano realiza su infección y VBS/LoveLetter se vuelve a enviar automáticamente a todas las direcciones que el usuario infectado contiene almacenadas en la libreta de direcciones. 

          Cuando se envía a través de un canal de IRC, el fichero enviado tendrá el nombre LOVE-LETTER-FOR-YOU.HTM. Dicho fichero se envía a cada uno de los usuarios que en ese instante se encuentren conectados con el usuario infectado, a través de un canal de Chat (IRC). 
  
 
Síntomas de infección: 

          Una vez que el gusano se activa, realiza determinadas operaciones con los fichero que cumplan las siguientes condiciones:  

• Aquellos ficheros cuya extensión es VBS, VBE, JS, JSE, CSS, WSH, SCT, ó HTA, perderán su contenido (el gusano escribe en su interior, sobreescribe), su tamaño variará y se les cambiará la extensión, para que ésta sea VBS.  

 
• Aquellos ficheros cuya extensión es JPG ó JPEG, perderán su contenido (el gusano escribe en su interior, sobreescribe), su tamaño variará y se les añadirá la extensión VBS. La extensión anterior, permanece (por ejemplo, el fichero que se llamase imagen.jpg, pasará a denominarse imagen.jpg.VBS). 

 
• Si el gusano encuentra ficheros con extensiones MP3 ó MP2, éste crea una copia de sí mismo. Dicha copia tendrá el mismo nombre que el fichero original (incluida la extensión), pero se le añadirá la extensión VBS. Posteriormente, el gusano oculta el fichero original. 

          El troyano se baja el fichero WIN-BUGSFIX.EXE de una página Web seleccionada, de forma aleatoria, entre cuatro posibles direcciones www. Posteriormente ejecuta dicho fichero y lo renombra por WINFAT32.EXE. Dicho fichero realiza las siguientes operaciones: 

• Cada 150 milésimas de segundo busca una ventana con el título "Connect to". Esto solamente ocurre en ordenadores con el sistema operativo en inglés. 

 
• Si encuentra dicha ventana, (correspondiente a la conexión de red), consigue que la password utilizada originalmente para la conexión sea la que se tome por defecto. Esto lo consigue marcando, cada 150 milésimas de segundo, la casilla de verificación que permite almacenar ("recordar") la password utilizada para la conexión.

 

• A partir del día siguiente a la infección, el troyano recoge información confidencial, referente al sistema, cada 48 segundos. Posteriormente envía todos los datos obtenidos a la dirección de correo electrónico mailme@super.net.ph (en Filipinas). El cuerpo del mensaje enviado a dicha dirección, es el siguiente: 

From: test@192.168.8.36 
To: mailme@super.net.ph 
Subject: Barok... email.passwords.sender.trojan 
X-Mailer: Barok... 
email.passwords.sender.trojan---by: spyder 
Date: Fri, 5 May 2000 05:17:28 +0200 
Message-Id: <891900275@super.net.ph> 
Host: "nombre del ordenador infectado" 
Username: "nombre del usuario infectado" 
IP Address: "dirección IP, en formato xxx.xxx.xxx.xxx" 

RAS Passwords: 
          descripción de la conexión 
          U: "usuario" 
          P: "password" 
          N#: "número de teléfono correspondiente a la conexión RAS en 
          formato (cc)pp-nnnnnnn" 

Cache Passwords: "Lista de passwords en la cache"

• Passwords de Windows.
• Entra en la información RAS (acceso telefónico a redes). Con ello consigue obtener todos los nombres y teléfonos personales que el usuario infectado tiene almacenados en su agenda (no la de correo electrónico, sino la referente al RAS):
• Nombre de cada usuario.
• Password.
• Número de teléfono (con código de país, área y teléfono).
• Dirección IP del ordenador infectado.
• DNS correspondiente al servidor primario y al servidor secundario.
• WINS correspondiente al servidor primario y al servidor secundario.

• Crea varias copias de sí mismo en el disco duro. Los nombres y destinos donde se copian cada uno de ellos, son los siguientes:

 
• MsKernel32.Vbs. En el directorio SYSTEM, que cuelga del directorio Windows.
• Win32DLL.Vbs. En el directorio de instalación de Windows.
• LOVE-LETTER-FOR-YOU.TXT.VBS. En el directorio SYSTEM, que cuelga del directorio Windows.
 
• VBS/LoveLetter crea varias entradas en el Registro de Windows.
• Si el fichero WINFAT32.EXE existe en el directorio SYSTEM, VBS/LoveLetter crea una nueva entrada en el Registro de Windows. Con ella, consigue asignar una dirección de Internet desde la que el gusano se bajará el fichero WIN-BUGSFIX.EXE.
• Crea el fichero LOVE-LETTER-FOR-YOU.HTM, en el directorio SYSTEM y se envía a todas las direcciones de correo electrónico que encuentra en la libreta de direcciones.
• Comprueba si existe alguno de los siguientes ficheros en cada uno de los directorios del disco duro y de las unidades de red: MIRC32.EXE, MLINK32.EXE, MIRC.INI, SCRIPT.INI, o MIRC.HLP. Si es así, crea el fichero SCRIPT.INI.

          Para llevar a cabo la desinfección siga los siguientes pasos: 

• Ejecute el fichero Pqremove.com (923Kb.). Podrá descargar este fichero haciendo click en las siguientes direcciones:

          Web de Panda:  updates.pandasoftware.com/pqremove
          R.e I.C.A.Z.:  PqRemove.Com 

          Este fichero es un Programa Ejecutable que se debe ejecutar desde Windows. Para hacer esto copie el dicho fichero en el escritorio de Windows. Este programa eliminará las entradas del registro creadas por este gusano. 
 

• Reinicie el equipo en modo MS-DOS siguiendo los siguientes pasos: 
• Pulse el botón Inicio.
• Haga clic en Apagar el sistema.
• A continuación, seleccione Reiniciar el equipo en modo MS-DOS.
 
• Una vez que el equipo finalice completamente el proceso de arranque en MS-DOS ejecute el antivirus desde MS-DOS (desde el prompt) para buscar posibles programas infectados por el virus. Para hacer esto teclee lo siguiente: 
• Escriba CD \ y pulse intro. Una vez hecho esto, aparecerá C:\
• Sitúese en el directorio donde se instaló el antivirus. El directorio por defecto será el siguiente: C:\ARCHIV~1\PANDAS~1\PANDAA~1.0 ( el símbolo ~ lo obtendremos manteniendo pulsada la tecla ALT y marcando los números 126 del teclado numérico).
• Teclee CD C:\ARCHIV~1 y pulse intro. De este modo se situará en C:\ARCHIV~1\
• Escriba CD PANDAS~1 y pulse intro. De este modo se situará en C:\ARCHIV~1\PANDAS~1\
• Teclee CD PANDAA~1.0 y pulse intro. De este modo se situará en C:\ARCHIV~1\PANDAS~1\ PANDAA~1.0.
• A continuación escriba la siguiente instrucción: PAVCL C: /AEX /CMP /CLV y pulse Intro.