VBS/LoveLetter se difunde vía email como un archivo llamado:

LOVE-LETTER-FOR-YOU.TXT.vbs.

Se tuvo constancia de la primera incidencia a las 9:00 a.m. del 4 de mayo de 2000 en Noruega y hacia las 13:00 p.m ya se había difundido en más de 20 países.

LoveLetter se activa al ejecutar el archivo que viene atachado al e-mail de referencia “ILOVEYOU” y sobreescribe los archivos de gráficos y de música en las unidades locales y de red. Todos los archivos con las extensiones JPG, JPEG, MP3 y MP2 son sobreescritos y, por lo tanto, es necesario recuperarlos de backups. Por defecto, las extensiones .VBS en los sistemas Windows no son visibles y los usuarios puede abrir el archivo adjunto LOVE.LETTER-FOR-YOU.TXT.vbs. por error pensando que es un inofensivo archivo .txt. Si el receptor abre el archivo, el virus utilizará Microsoft Outlook (si está instalado) para enviar un mensaje a todas las direcciones de la agenda, incluyendo aquellas de acceso global de la empresa, las cuales normalmente tienen cientos o miles de direcciones. El mensaje es como se muestra a continuación: De: Nombre-del-usuario- infectado Para: Nombre aleatorio de la agenda de Outlook Asunto:ILOVEYOU Kindly check the attached LOVELETTER coming from me. Archivo adjunto: LOVE-LETTER-FOR-YOU.TXT.vbs

Como las agendas contienen normalmente direcciones de grupos, el resultado de la activación del virus dentro de una empresa es que el primer infectado envía el mensaje a todo el mundo dentro de la organización. Después de esto, otros usuarios abrirán el mensaje y lo volverán a reenviar de nuevo a toda la gente de la empresa. El efecto inmediato es que el servidor de correo puede verse rápidamente colapsado.

Además de enviar un email a todas las direcciones, el virus sobreescribe los scripts locales y los archivos HTML con su propio código.

El virus es probablemente de procedencia filipina. Está escrito en lenguaje VBScript. Por defecto, los programas escritos en VBScript operan solo bajo Windows 98 y Windows 2000. No obstante, los usuarios con Windows 95 y NT también son vulnerables si tienen instalada la versión 5 de Microsoft Internet Explorer.

VARIANTE MOTHER’S DAY
Esta nueva variante envía emails que parecen ser una confirmación de una orden de compra electrónica del Diamante Especial del Día de la Madre y el archivo que adjunta, mothersday.vbs tiene el aspecto de una factura. Cuando un usuario recibe este email, asume que es un error y abre el archivo infectando automáticamente el PC.

A mediodía (hora de Europa central) del viernes 5 de mayo de 2000, ya se habían encontrado cinco versiones diferentes de VBS/LoveLetter. Se espera que durante el fin de semana aparezcan más.

El sistema Windows no muestra por defecto las extensiones .vbs. Si el receptor tiene Microsoft Outlook, al abrir el archivo adjunto, automáticamente enviará un mensaje a todas las direcciones incluidas en la agenda. El mensaje tiene este aspecto:

De: Nombre_del_usuario_infectado
Para: Nombre_aleatorio_de_la_agenda
Asunto: Mother Day Order Confirmation

We have proceeded to charge your credit card for the amount of $362.92 for the mothers day diamond special. We have attached a detailed invoice to this email. Please print out the attachment and keep it in a safe place. Thanks Again and Have a Happy Mothers Day! mothersday@subdimension.com

Attachment: mothersday.vbs

Como la agenda de Outlook suele tener grupos de direcciones dentro de la propia empresa, el resultado es que el primer infectado envía mensajes al resto de la empresa. Después de esto, otros usuarios dentro de la empresa envían de nuevo el mensaje al resto de la empresa por lo que el servidor de correo electrónico se colapsará rápidamente.

Además, este nuevo virus borra todos los archivos INI y BAT tanto de las unidades locales como de los directorios. Esto provocará que los equipos no puedan ser arrancados de nuevo y originará daños muy graves en los archivos de red.

Las otras variantes del virus son:

• Variante A: Es el virus LoveLetter original.
• Variante B: El asunto del email está escrito en lituano.
• Variante C: El asunto del email es “fwd: Joke” y el mensaje adjunto es “Very Funny.vbs”.
• Variante D: Es prácticamente idéntico a la variante A.

VARIANTE LOVELETTER.F
Esta variante se difunde vía email con el siguiente texto:
Asunto: Dangerous Virus Warning
There is a dangerous virus circulating. Please click attached picture to view it and learn to avoid it.
Archivo adjunto: virus_warning.jpg.vbs

VARIANTE LOVELETTER.G
VBS/LoveLetter.G es similar al original VBS/LoveLetter.A

Esta variante envía un mensaje que parece provenir desde el departamento de Soporte de Symantec. Además cambia la página de inicio de Internet Explorer apuntando a una página para adultos o a una de hackers. Esta variante no intenta descargar el "WIN-BUGSFIX.exe".

El mensaje muestra lo siguiente:
Asunto: ¡¡¡ Alerta de Virus ¡!!
Desde: support@symantec.com
Dear Symantec customer,
Symantec's Antivirus Research Center began receiving reports regarding VBS.LoveLetter.A virus early morning on May 4, 2000 GTM
This worm appears to originate from the Asia Pacific region. Distribution of the virus is widespread and hundreds of thousands of machines are reported infected.
The VBS.LoveLetter.A is an Internet worm that uses Microsoft Outlook to e-mail itself as an attachment.
The subject line of the e-mail reads ILOVEYOU, with the attachment titled LOVE-LETTER-FOR-YOU.txt.vbs. Once the attachment is opened, the virus replicates and sends an e-mail to all e-mail addresses listed in the address book. The virus also spreads itself via internet relay chat and infects files on local and remote drives including files with extensions vbs, vbe, js, sje, css, wsh, sct, hta, jpg, jpeg, mp3, mp2.
User should exercise caution when opening e-mails with this subject line, even if the e-mail is from someone they know, as that is how the virus is spread.
Symantec Corp. Today announced availability of the virus definition to detec, repair and protect users against the VBS.LoveLetter.A virus.
This definition is available now via Symantec's LiveUpdate and can also be downloaded from the following web sites:
http://www.symantecstore.com/AF77774211/promo/loveletter
http://www.digitalriver.com/symantec

Also as a quick solution Symantec Corp. offers Visual Basic Script to protect your PC against this worm. (See attached)

Note! When executed, this script will protect Your PC from being INFECTED by VBS.LoveLetter.A virus.

To cure already infected PC'S download Norton Antivirus
Updated mentioned above.

Symantec Corporation - a world leader in Internet security technology.

Archivo adjunto: protect.vbs

Para los archivos con las siguientes extensiones: ".js", ".jse", ".css", ".wsh", ".sct", ".hta", ".com" y ".bat", el virus creará un nuevo archivo con el mismo nombre, pero utilizando la extensión ".vbs" y borrará el archivo original. Puesto que destruye todos los archivos ".com", el sistema no podrá ser reiniciado nunca más.

VARIANTE LOVELETTER.H
Esta variante se expande en emails con el siguiente contenido:
Asunto : Important ¡ Read carefully!!
Check the attached IMPORTANT coming from me
Archivo adjunto: IMPORTANT.TXT.vbs

VARIANTE LOVELETTER.I
VBS/LoveLetter.I es una variante ligeramente modificada de VBS/LoveLetter.G

VARIANTE LOVELETTER.J
Esta variante es funcionalmente idéntica a VBS/LoveLetter.A. Sin embargo, el email y el nombre del archivo adjunto se modifican.
Asunto: How to protect yourself from the ILOVEYOU bug ¡
Here's the easy way to fix the love virus.

Archivo adjunto: Virus-Protection-Instructions.bvs

VARIANTE LOVELETTER.K
Esta variante envía un mensaje con el siguiente contenido:
Asunto: Thank You For Flying With Arab Airlines
Please check if the bill is correct, by opening the attached file

Archivo adjunto: ArabAir.TXT.vbs

VBSLoveLetter.K borra archivos con extensiones ".dll" y ".exe": añade un archivo nuevo con la extensión ".vbs" y borra el archivo original. El virus localiza todos los archivos con la extensión ".sys", crea un nuevo archivo con la extensión ".vbs" y oculta el archivo original.

VARIANTE LOVELETTER.M
Se trata de una variante modificada del virus LoveLetter.A: cambia el asunto, el contenido del email y el nombre del archivo adjunto
El nuevo mensaje es el siguiente:
Asunto: Bewerbung Kreolina
Sehr geehrte Damen und Herren!
Archivo adjunto: "BEWERBUNG.TXT.vbs"

VARIANTE LOVELETTER.N
También es una variante modificada del virus LoveLetter.A. Cambia el asunto, el contenido del email, el nombre del archivo adjunto y los archivos reemplazados.
Esta variante envía un mensaje con el siguiente contenido :
Asunto: LOOK
hehe...check this out
Archivo adjunto: "look.vbs"

VARIANTE LOVELETTER.O
Esta variante modificada del virus LoveLetter.A sólo cambia en SCRIPT.INI porque contiene el comentario "Bla Bla Bla".

VARIANTE LOVELETTER.P
Esta variante envía un email con el siguiente contenido :
Asunto: Variant Test
This is a variant to the vbs virus.
Archivo adjunto: IMPORTANT.TXT.vbs

El gusano borra todos los archivos con la extensión ".avi", ".mpeg", "qt", o ".qtm", " También oculta todos los archivos con extensión ".mpg". Después de borrarlos o esconderlos, el gusano crea una copia de los mismos utilizando el nombre de los archivos originales con la extensión adicional ."vbs"

VARIANTE LOVELETTER.Q
El mensaje que envía esta variante es el siguiente:
Asunto: Yeah, Yeah another time to DEATH...
This is the Killer for VBS.LOVE-LETTER.WORM.
Archivo adjunto: Vir-Killer.vbs

VBS/LoveLetter.Q borra todos los archivos con extensión ".zip" o ".ar". Tambien oculta todos los archivos con extensión ".asm" o ".pas". Después de esta operación, el gusano crea una copia de los archivos borrados utilizando el nombre de archivo original con la extensión adicional ".vbs".
Esta variante no se propaga vía mIRC

VARIANTE LOVELETTER.R
LoveLetter.Q se propaga en emails con el siguiente contenido:
Asunto: PresenteUOL
O UOL tem um grande presente para voce, e eh exclusivo.
Veja o arquivo em anexo.
http://www.uol.com.br
Archivo adjunto: UOL.TXT.vbs

VARIANTE LOVELETTER.S
Es una leve variación de LoveLetter.N. Oculta los archivos con la extensión .mp3 y .mp2 igual que el virus original LoveLetter.A.

VARIANTE LOVELETTER.T
Es una variante de LoveLetter.A. Cambia el asunto, el contenido del mensaje, el nombre del archivo adjunto y los archivos reemplazados.

Se trata de un gusano VBScript con cualidades de un virus. Este gusano llega a través de un mensaje de email con el siguiente formato:
Asunto: Recent Virus Attacks-Fix
Attached is a copy of a csript that will reverse the effects of the LOVE-LETTER-TO-YOU.TXT.vbs as well as the FW: JOKE, Mother's Day and Lithuanian Siblings
Archivo adjunto: BAND-AID.DOC.bvs

VARIANTE LOVELETTER.V

LoveLetter.V es una variante modificada ligeramente del LoveLetter.L

VARIANTE LOVELETTER.W
Esta variante se propaga en emails con el siguiente contenido:
Asunto: IMPORTANT: Official virus and bug fix
This is an official virus and bug fix. I got it from our system admin. It may take a short while to update
Your system files after you run the attachment.
Archivo adjunto: Bug and virus fix.vbs.

Esta variante reemplaza todos los archivos con la extensión ".exe", ".com", ".dll" o ".sys". Dejará el sistema en estado inservible.

VARIANTE LOVELETTER.X
Es una variante de poca importancia de LoveLetter.A. Cambia los archivos que sustituye, el mensaje, el archivo adjunto y los archivos creados.

Es un gusano con cualidades de un virus. Este gusano llega a través de email sugiriendo ser un fix para el virus LoveLetter pero realmente es un virus. El email está en este formato:
Asunto: NEUE ANTI-VIRUS-LISTE
Hiermit senden wir Ihnen/Dir eine neue Liste mit LOVE LETTER-VIRUS Namen, die nicht geoeffnet werden sollten, bitte sofort lesen, danke.
Archivo adjunto: ANTI-VIRUS-LISTE.TXT.vbs

VARIANTE LOVELETTER.Y
Ese trata de una variante importante de LoveLetter.A. Esta variante utiliza las mismas técnicas para reemplazar los archivos, sin embargo introduce una técnica nueva para infectar los archivos y para que el sistema los utilice. En vez de utilizar la extensión por defecto de Windows Scripting Host, obliga a que las extensiones .GIF y .JPG funcionen como un archivo script.

Este es un virus VBScript con cualidades de gusano. Llegará en un mensaje por email sugiriendo ser un cuadro, sin embargo en realidad es un virus. El email tiene este formato:
Asunto: Image of the Millenium
Hi, my name is Nelma Marisa, and I'm here to present the Image of the Millenium, Just unzip Nelma.zip and read the readme File included first. Then open the image called Millenium.gif.
Thanks...
Archivo adjunto: nelma.zip

NUEVA VARIANTE DEL VIRUS ILOVEYOU PARA LINUX
Se ha encontrado una nueva variante del virus VBS/LoveLetter. Esta variante se ha transformado al genérico shell script de Unix y hace lo mismo que el gusano de correo electrónico escrito para Windows. Esta versión para Unix no está altamente extendida.