LoveLetter.A

LoveLetter.A realiza las siguientes acciones:

• Descarga el archivo WIN-BUGSFIX.EXE desde una página web de Internet.
  Este archivo es un troyano conocido como Barok, que obtiene las contraseñas del ordenador afectado. LoveLetter.A ejecuta este archivo y posteriormente le asigna el nombre WINFAT32.EXE.
• Recoge información confidencial del ordenador afectado, cada 48 segundos, a partir del día siguiente a la infección:
  - Contraseñas de Windows.
  - Datos personales incluidos en la agenda correspondiente a la conexión de acceso telefónico a redes (RAS - Remote Access Services) del usuario afectado. Estos datos de la conexión a Internet son: nombre de usuario, contraseña, número de teléfono del usuario (incluyendo prefijo de país y área), dirección IP de su ordenador, DNS y WINS correspondiente al servidor que se utiliza para la conexión (primario y secundario).
• Envía la información recogida a la dirección de correo electrónico mailme@super.net.ph.
• Sobrescribe todos los archivos con extensión VBS, VBE, JS, JSE, CSS, WSH, SCT, HTA, JPG, JPEG, MP3 y MP2, con lo que se pierde su contenido original.

LoveLetter.A crea los siguientes archivos:

• MSKERNEL32.VBS, en el directorio de sistema de Windows. Este archivo es una copia del gusano.
• WIN32DLL.VBS, en el directorio de Windows. Es otra copia del gusano.
• LOVE-LETTER-FOR-YOU.TXT.VBS, en el directorio de sistema de Windows. Es la copia del gusano que será enviada a través del correo electrónico.
• LOVE-LETTER-FOR-YOU.HTM, en el directorio de sistema de Windows. Es la copia del gusano que será enviada a través del chat IRC.
• SCRIPT.INI es el archivo que LoveLetter.A utiliza para conseguir su propagación a través de chat IRC. Sólo crea este archivo si el programa mIRC está instalado en el ordenador afectado. LoveLetter.A comprueba si está instalado el programa mIRC, buscando los archivos MIRC32.EXE, MLINK32.EXE, MIRC.INI, SCRIPT.INI, o MIRC.HLP en el disco duro del ordenador afectado o en las unidades de disco de la red accesiblesdesde él.
• LoveLetter.A crea una copia de sí mismo cada vez que encuentra un archivo con extensión MP3 o MP2. Esta copia tiene el mismo nombre que el archivo original, pero le añade la extensión VBS (si el archivo llevaba por nombre SONG.MP3, ahora será SONG.MP3.VBS).
  Después, LoveLetter.A oculta el archivo original.

LoveLetter.A modifica los siguientes archivos:

• Archivos con extensión VBS, VBE, JS, JSE, CSS, WSH, SCT o HTA. Sustituye dichas extensiones originales, por la extensión VBS y sobrescribe el contenido de cada uno de ellos, variando su tamaño. Si el archivo llevaba por nombre ESTILO.CSS, ahora será ESTILO.VBS.
• Archivos con extensión JPG o JPEG. Añade la extensión VBS y sobrescribe su contenido, variando el tamaño de cada uno de ellos. Si el archivo llevaba por nombre IMAGEN.JPG, ahora será IMAGEN.JPG.VBS.

LoveLetter.A crea las siguientes entradas en el Registro de Windows:

• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  MSKernel32 = %sysdir%\ MSKernel32.vbs
• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ RunServices
  Win32DLL = %windir%\ Win32DLL.vbs
  donde %sysdir% es el directorio de sistema de Windows, y %windir% es el directorio de Windows.
  Mediante estas dos entradas, LoveLetter.A consigue ejecutarse cada vez que Windows se inicia.

• HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main
  Start Page = http:// www.skyinet.net/ ~koichi/ jf6TRjkcbGRpGqaq198vbFV5hfFEkbopBdQZnmPOhfgER67b3Vbvg/ WIN-BUGSFIX.exe
  Esta entrada permite que LoveLetter.A descargue el archivo WIN-BUGSFIX.EXE, perteneciente al troyano Barok.

A continuación, LoveLetter.A ejecuta el archivo WIN-BUGSFIX.EXE y sustituye su nombre por WINFAT32.EXE, realizando las siguientes acciones:

• Busca una ventana con el título Conectar con (acceso telefónico a redes) cada 150 milésimas de segundo. Esto sólo lo hace en ordenadores con el sistema operativo en inglés (ventana Connect to).
• Si encuentra la ventana, escribe su propia contraseña que le permite realizar conexiones de acceso a redes (a Internet).
  Entonces, cada 150 milésimas de segundo, marca la casilla Guardar contraseña. Con ello se asegura de que la contraseña de acceso que ha escrito, siempre este disponible para realizar las conexiones:
  
  

• A partir del día siguiente a su ejecución, LoveLetter.A recoge información sobre la conexión de acceso telefónico a redes del usuario infectado: nombre, contraseña, número de teléfono (incluyendo prefijo de país y área), etc.
• Loveletter envía todos los datos obtenidos a la dirección de correo filipina mailme@super.net.ph.

LoveLetter.A se propaga a través del correo electrónico y del chat IRC.

1.- Propagación a través del correo electrónico.

LoveLetter.A realiza el siguiente proceso:

• Llega al ordenador en un mensaje de correo electrónico escrito en inglés, con las siguientes características:
  
  Asunto:
  ILOVEYOU
  
  Contenido:
  kindly check the attached LOVELETTER coming from me
  
  Archivo adjunto:
  LOVE-LETTER-FOR-YOU.TXT.VBS

• El ordenador es afectado cuando el usuario ejecuta el archivo adjunto.
• LoveLetter.A envía automáticamente una copia de sí mismo a todos los contactos almacenados en la Libreta de direcciones.

2.- Propagación a través del chat IRC.

• LoveLetter.A sólo utiliza este medio si está instalado el programa mIRC.
• Cuando el usuario afectado se conecta a un canal del chat IRC, LoveLetter.A envía el archivo LOVE-LETTER-FOR-YOU.HTM a todas las personas conectadas a dicho canal en ese momento.

LoveLetter.A está escrito en el lenguaje de programación Visual Basic Script. Este gusano tiene un tamaño de 10307 Bytes.

El mensaje que LoveLetter.A envía con la información recogida en el ordenador afectado tiene el siguiente formato:

Dicho mensaje tiene un determinado remitente (test@192.168.8.36), un destinatario (mailme@super.net.ph) y un asunto (Barok... email.passwords.sender.trojan).