Logo de NAUTOPIA y de la Comunidad Nautópata    NAUTOPIA: Privacidad, Seguridad y Libertades Civiles    Foro Local de TARRACO, Tarragona

  

ANILLO     CONTACTAR    CULTURALIA     DOWNLOADS    KIOSKO    FORO         HOME
 

 Translate 
 

 

por Jesús Manuel Márquez Rivera  <JmMr>  29 Julio 2003

 

VIDA ARTIFICIAL

EL FASCINANTE MUNDO DE LOS VIRUS INFORMÁTICOS

 

10. APÉNDICES

10.3. 2000, EL AÑO DEL ILOVEYOU. HAY AMORES QUE ...

 

Nombre: Gusano VBS/LoveLetter

Lenguaje: Visual Basic Script (VBScript)

Procedencia: Manila, Filipinas

Nick del autor: “Spyder”

 

Un año después de que “Melissa” danzara por los ordenadores de medio mundo en el año 1999, apareció el virus “ILOVEYOU”, también conocido como “virus del amor”, “LOVELETTER”, o “LOVEBUG”. Desbancó a Melissa como el virus/gusano más rápido en alcanzar dimensiones mundiales de infección.

El uso sofisticado de la “ingeniería social” llevó a una velocidad de propagación nunca vista.

 

No más de 10.000 bytes y unas 300 líneas de código escritas en el lenguaje Visual Basic Script han hecho de este gusano (virus-troyano) uno de los que más impacto han tenido en los medios (comparables con el gusano de Morris en 1988, el virus Michelangelo en 1992 y el gusano de macro Melissa en 1999). Una avalancha de noticias en los informativos en todas las cadenas de TV del mundo, ríos de tinta en periódicos y revistas ...

Muchas informaciones incorrectas, exageradas, como de costumbre: el virus se activaba sin necesidad de ejecutarlo, etc.

 

 

CREADORES

Reonel Ramones & Irene de GuzmánLa mañana del jueves, 4 de mayo de 2000, los creadores del virus conectaron con el proveedor de acceso a Internet (ISP) llamado Internet Sky y soltaron su “monstruo”.

El 8 de mayo del 2000 fue detenido Reonel Ramones, de 27 años, que vivía con su hermana y su novia, Irene de Guzmán.

 

Onel de GuzmánEl 11 de mayo, Onel de Guzmán (foto izda.), hermano de Irene (no, no es un culebrón) afirmó en una rueda de prensa que él realizó un proyecto académico que podía haber sido la base del gusano. Los tres habían sido alumnos del AMA Computer College (AMACC) de Manila.

Una corporación holandesa lo contrató por su habilidad en la concepción del gusano.

 

 

 

MODUS OPERANDI

El ordenador y Onel de GuzmánSi bien desde el punto de vista de la programación no es excepcional, destaca por su inteligente estudio psicológico y de ingeniería social:

un correo llega desde una dirección conocida y nos avisa de que nos escriben un mensaje de amor. Pero por si fuera poco, el fichero añadido lleva el nombre “LOVE-LETTER-FOR-YOU.TXT.vbs”. El usuario normal creerá que es un fichero de texto, pero el más experto desconfiará de la extensión final .vbs (Visual Basic Scripting), que es un fichero ejecutable. De nuevo el aprovechamiento de las dobles extensiones en Windows.

 

 

Hay que destacar que sólo afectó a los ordenadores con Windows 9x y NT que tenían el Windows Scripting Host instalado/activado.

Los resultados fueron demoledores: más de 10 millones de ordenadores infectados, 1 ó 2 billones de pesetas de pérdidas. Su actividad destructiva fue restringida por los programadores que le dieron vida. Borraba archivos, pero no críticos.

Aunque está escrito en Visual Basic Script, lenguaje despreciado generalmente por los hackers y Vxers (que usan el ensamblador), es un trabajo que refleja conocimientos avanzados del lenguaje y del sistema operativo.

 

  • Una vez ejecutado, se instala en los directorios C:\Windows, C:\Windows\System, en el Registro y modifica la página de inicio del navegador, dejándola en blanco.
  • Obtiene la libreta de direcciones para enviarse a los conocidos
  • Usa Outlook Express o mIRC en el caso de su difusión por IRC.
  • El gusano “I love you” busca en el disco duro ficheros con las extensiones vbs, vbe, js, jse, css, wsh, sct, hta, mp3 y mp2, y los sobreescribe, dejándolos inutilizados o bien ocultandolos (mp3). Al ejecutar los ficheros gráficos o musicales se infectará.
  • Además se conecta a Internet y descarga el troyano WIN-BUGSFIX.EXE. Cuando el troyano se instala, cambia la página de inicio del Internet Explorer a “about:blank”.
  • Roba información –nombre de máquina, su dirección IP, nombre de usuario, login de red, información del RAS, etc.- y las envía a mailme@super.net.ph
  • Tuvo cerca de 40 variantes.

 

 

CODIGO

 

 

Código I love you 1

Código I Love you 2

 

 

 

BIBLIOGRAFIA UTILIZADA

  • VSAntivirus tiene multitud de artículos sobre el gusano ILOVEYOU y variantes posteriores.
  • Jorge Machado en PER antivirus / SOS virus.
  • “Analizando el gusano del amor” por Darumesten el hechicero. Artículo en español comentando el código del gusano paso a paso.
  • Noticias diversas de prensa escrita e Internet, etc.

 

 

Contactos de Jesus Marquez

 

- Anterior -             - Vida Artificial -

 

- ANTIVIRUS y BICHOS -

 
 

 
 
 

NAUTOPIA © 2003. Reservados todos los derechos.