NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es

Anterior


Nueva variante CN virus de VBS Loveletter de difusión masiva (Outlook)

Nombre de virus: VBS/Loveletter.CM @ MM

Alias conocidos: LoveLetter.CM

Riesgo Infección: Alto (Bajo, Alto, Muy Alto)

Activación: Envía mails a todas las listas de Outlook y crea fichero CIH_14.exe

Propagación: Por abrir fichero anexado JENNIFERLOPEZ_NAKED,JPG.vbs,

Detección: DATS 4131

Motor necesario: 4.0.70

Infección actual: Inicial (Inicial, Media, Elevada)

Una variante del tristemente famoso LoveLetter, que en un solo dia infectó varios millones de ordenadores en todo el mundo, ha sido detectada en nuestro pais, razón por la que nos tememos cierta propagación, a pesar de estar controlado desde DATS 4131, y ser un VBS de fácil control con VBSFIX.

Esta nueva variante CM llega en un email con asunto Where are you ? , y con el mensaje This is my pic in the beach ! , anexando un fichero anexado que aparenta ser un JPG, pero es un VBS: JENNIFERLOPEZ_NAKED.JPG.vbs

Si se ejecuta dicho fichero, se sobreescriben con el código vírico las siguientes extensiones, algunas renombrándolas a extensión VBS (CSS, HTA, JS, JSE, SCT, VBS, VBE, WSH), y a otras se les añade la VBS (JPG y JPEG pasan a JPG.VBS y JPEG.VBS), y a otras les pone el atributo de oculto (hidden) y les añade también la extensión VBS (MP2 y MP3 pasan a MP2.VBS y MP3.VBS)

Esta infección la realiza en unidades locales y en unidades remotas mapeadas, también copia el gusano JENNIFERLOPEZ_NAKED.GIF.VBS en %WINDIR%

A continuación envía el mail con el fichero infectado anexado a todas las direcciones de la libreta del Outlook, colocando una clave en el registro de sistema conforme ya ha enviado los mails, para no repetir el envío de nuevo.

Además modifica el registro con otra clave que ejecuta el gusano copiado en el directorio de WINDOWS, cada vez que se reinicia el sistema, Por último crea en el directorio de Windows el fichero CIH_14.exe infectado con el virus CIH.

Eliminando el fichero gusano se elimina el virus. Conviene además eliminar el mail portador del mismo, para no caer otra vez en la ejecución del gusano.

Recordamos que si se ha ejecutado el VBSFIX.EXE se evitan estos virus .VBS

(Ver documento enviado fecha 31 de Mayo 2001 con título Utilidad VBSFIX)

 

SATINFO, VIRUSCAN SPAIN SERVICE 5-6-2001

 

Anterior