GUSANO

VBS/LoveLetter.CM

Nuevos Virus

Enciclopedia

Noticias

Top Virus

Anti-Virus

Alias: Jennifer Lopez, VBS.Lopez.A@mm, VBS/Loveletter-CM, JenniferLopez_Naked, VBS.Loveletter.CM@mm
Tamaño: 17K (17245 bytes)

La nueva variante del LoveLetter es un gusano de Visual Basic Script aparecido el 30 de Mayo de 2001 cuyo origen parece estar en Argelia. Este gusano utiliza técnicas de ingeniería social para propagarse rápidamente “in the wild” . Se presenta como un archivo camuflado que contiene supuestamente una fotografía de la famosa cantante y actriz latina, Jennifer López.

El gusano llega en un archivo adjunto a un e-mail llamado JENNIFERLOPEZ_NAKED.JPG.vbs. Este se copia en el directorio de Windows y se envía a cada dirección de la libreta de direcciones de OutLook con el siguiente formato:

Asunto: Where are you?
Texto: This is muy pic in the beach!
Archivo Adjunto: JENNIFERLOPEZ_NAKED.JPG.vbs

Cuando se ejecuta el archivo adjunto y para llevar a cabo toda su rutina, el gusano establece la siguiente entrada de registro:

HKCU\Software\Microsoft\Windows Scripting Host\Settings\Timeout

 Busca en todos los discos duros de red y fijos archivos con las extensiones .VBS, .VBE, .JS, .JSE, .CSS, .WSH, .SCT, .HTA, .JPG, .JPEG, .MP2 y .MP3, todos los que encuentre serán sobrescritos.

Cambia las extensiones originales .JS, .JSE, .CSS, .WSH, .SCT y .HTA por .VBS. También cambia las extensiones .JPG, y .JPGE por extensiones dobles .JPG.VBS y .JPGE.VBS. Si el gusano detecta archivos con extensiones MP2 y MP3, creará un nuevo archivo con el mismo nombre que quedará oculto y con extensión .VBS.

Fija la siguiente entrada: 

HKCU\Sofware\JENNIFERLOPEZ_NAKED\ a "Worm made in algeria"; 

copia el archivo JENNIFERLOPEZ_NAKED.JPG.vbs en el directorio de Windows. Además, para activar su código viral en cada encendido del sistema establece la entrada HKLM\Software\Microsoft\Window\CurrentVersion\Run\WORM.

Después, se envía a todas los contactos de la agenda de direcciones de Outlook o Outlook Express y para finalizar, crea el archivo cih_14.exe fichero en el directorio de Windows Win95.CIH.1019 que contiene la variante CIH.1019 del destructivo virus CIH o Chernobyl.

CIH.1019 se activará el día 26 de cada mes con el fin de sobrescribir los archivos del disco duro y la Flash BIOS del equipo infectado.


Copyright © VIRUSPROT.COM