VBS/San es un gusano escrito en Visual Basic Script.

Variante: VBS/San.A 

El gusano llega en un mensaje infectado enviado con Outlook Express. Cuando se visualiza ya sea abriendo el archivo o con la opción vista previa, primeramente deposita la versión inglesa y luego la española del archivo "loveday14-a.hta" en el directorio de Inicio de Windows.

Cuando se vuelve a arrancar el sistema, se ejecuta "loveday14-a.hta". También el gusano crea un archivo infectado "index.html" en el directorio System de Windows.

Seguidamente utiliza el registro para sustituir la firma por defecto de Outlook Express 5 por el archivo "index.html" creado anteriormente.

De alguna forma cada vez que un usuario infectado envía un mensaje de correo, el gusano incrustará su código html a este mensaje.

A continuación, el gusano sustituye la página de inicio de Internet Explorer por una página web que contiene otro gusano VBS/Valentine. Estos dos gusanos se descargan el uno al otro. 

Si la fecha del sistema es 8, 14, 23 ó 29 de cada mes, VBS/San.A destruirá el sistema infectado borrando todos los directorios y sus contenidos del disco "C:".

En lugar de los directorios originales, el gusano creará una carpeta con el mismo nombre pero añadiendo la cadena "happysanvalentin". De esta forma, el directorio llamado "MisDocumentos" se convertirá en "MisDocumentoshappysavalentin". 

Este gusano estuvo insertado durante varias horas en una página web española pública en Internet y ha sido enviado a diversos grupos de noticias. Incluso después de que esta página infectada fuera eliminada de Internet, el gusano ha sido difundido a través de Outlook Express.

Este gusano utiliza la misma vulnerabilidad que el virus KAK. Un parche e información ampliada sobre esta vulnerabilidad está disponible en Microsoft en la dirección: 

http://www.microsoft.com/technet/security/bulletin/ms99-032.asp.