Dedicated to my best brother=>Christiam Julian(C.J.G.S.) Att. TEGIF (M.H.M. Team)

La palabra "TEGIF" será cualquier combinación al azar de 5 letras.

El gusano se reenvía a si mismo adjunto a un mensaje con estas características:

Asunto:
US PRESIDENT AND FBI SECRETS =PLEASE VISIT => (http://WWW.2600.COM)<=

El "Asunto" también puede contener 6 letras al azar.

Texto:
VERY JOKE..! SEE PRESIDENT AND FBI TOP SECRET PICTURE..

El "Texto" también puede contener 10 letras al azar.

Datos adjuntos:
nombre_al_azar.EXTENSION.vbs

El asunto o el cuerpo (o ambos), pueden contener solo una cadena de caracteres en mayúsculas. El largo de esta cadena es de 6 caracteres, y el largo del cuerpo al azar es de 10 caracteres.

El VBS/Lovelet-DO intenta descargar los archivos MACROMEDIA32.ZIP, LINUX321.ZIP y LINUX322.ZIP a través del Internet Explorer. A pesar de las extensiones, ninguno de los tres es un archivo ZIP. Uno es un archivo de texto y los otros dos, gráficos bitmap.

MACROMEDIA32.ZIP es el código del virus, y es copiado al directorio de Windows con el nombre IMPORTANT_NOTE.TXT, y luego se modifica el registro para ejecutar este archivo en cada reinicio de la computadora.

Después, el virus copia LINUX321.ZIP y LINUX322.ZIP como LOGOS.SYS y LOGOW.SYS, cambiando las pantallas de inicio y de cierre de Windows (ambos archivos en realidad son imágenes).

VBS/LoveLet-DO realiza también los siguientes cambios en el registro de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
plan columbia = important_note.txt

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
LINUX32 = C:\Windows\System\LINUX32.vbs

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
reload = C:\Windows\reload.vbs

LINUX32.VBS y RELOAD.VBS son copias del propio gusano.

También crea otra copia de si mismo en el directorio Windows\System con un nombre de 5 a 8 caracteres seleccionados al azar y con la doble extensión .GIF.VBS o .JPG.VBS.

Esta copia es la que el gusano enviará a todas las direcciones de la libreta del Outlook en los mensajes infectados.

Una vez ejecutado, el virus busca los archivos .VBS, .VBE, .JS, .JSE, .CSS, .WSH, .SCT, .HTA, .JPG, y .JPEG y los sobreescribe con su propio código. También cambia las extensiones JPG y JPEG por .VBS.

Cuando encuentra archivos .MP3 y .MP2, los oculta cambiando sus atributos a ocultos (+H). 

Para eliminarlo en forma manual

Borre los archivos creados por el gusano o el trojan. Siga estos pasos para hacerlo.

1. Pinche en Inicio, Buscar, Archivos o carpetas.

2. Asegúrese de tener en "Buscar en:" la unidad C:\ y marcado "Incluir subcarpetas".

3. En la casilla "Nombre" escriba (o "corte y pegue") los siguientes nombres (repita este paso un archivo por vez si no desea confundirse, pinchando en "Nueva Búsqueda" cada vez luego de la primera):

LINUX32.vbs
reload.vbs
important_note.txt
US-PRESIDENT-AND-FBI-SECRETS.HTM

4. Pinche en "Buscar ahora". Windows buscará todas las copias de este archivo en la unidad C:

5. Si aparece en la ubicación siguiente, márquelos (recuerde, repita los pasos 3 y 4 una vez por cada archivo sino desea confundirse):

c:\Windows\System\LINUX32.vbs
c:\Windows\reload.vbs
c:\Windows\important_note.txt
c:\Windows\System\US-PRESIDENT-AND-FBI-SECRETS.HTM

6. Pulse la tecla SUPR o DEL, y pinche en SI para confirmar el borrado.

7. Vaya a la papelera de reciclaje en el escritorio, pinche con el botón derecho sobre ella y seleccione "Vaciar la papelera de reciclaje".

Remover las entradas del registro

Siga estos pasos para remover estas entradas (ATENCION, proceda con cuidado cada vez que haga modificaciones en el registro de Windows):

1. Salga de todos los programas.

2. Vaya a Inicio, Ejecutar.

3. Teclee REGEDIT y pulse Enter.

4. En la columna de la izquierda, pulse en el símbolo "+", y busque la siguiente entrada:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run

5. Pulse sobre la carpeta "Run".

Si en la ventana de la derecha aparecen estos valores: 

LINUX32
plan columbia

6. Borre la clave completa (marque el nombre "LINUX32" y pulse DELETE o SUPR, haga lo mismo con "plan columbia").

7. Conteste que SI a la pregunta de confirmación en cada caso.

8. En la columna de la izquierda, pulse en el símbolo "+", y busque la siguiente entrada:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
RunServices

9. Pulse sobre la carpeta "RunServices".

Si en la ventana de la derecha aparece este valor:

reload

10. Borre la clave completa (marque el nombre "reload" y pulse DELETE o SUPR).

11. Salga del editor del registro (Registro, Salir).

12. Vaya a Inicio, Apagar el sistema. Seleccione "Reiniciar" y OK.

13. Revise su PC con un antivirus al día.

Windows Scripting Host y Script Defender

Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm

Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán.

VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm

Referencias:

4/nov/00 - Virus: VBS/LoveLet-AS - Plan Colombia
12/dic/00 - VBS/LoveLet-CA. Variante del "Colombia"


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com