ILoveYou

i love (o VBS/LoveLetter) es un virus escrito en VBScript. En mayo de 2000 infectó aproximadamente 50 millones de computadores provocando pérdidas de más de 5.500 millones de dólares.

CP

ILoveYou aprovechaba la libreta de contactos del computador afectado para propagarse, logrando una enorme capacidad de difusión.

El gusano sobrescribe con su código los archivos con extensiones .VBS y .VBE. Elimina los archivos con extensiones .JS, .JSE, .CSS, .WSH, .SCT y .HTA, y crea otros con el mismo nombre y extensión .VBS en el que introduce su código. También localiza los archivos con extensión .JPG, .JPEG, .MP3 y .MP2, los elimina, y crea otros donde el nuevo nombre está formado por el nombre y la extensión anterior más VBS como nueva extensión real.[1]

VBS/LoveLetter llega al usuario en un e-mail que tiene por Asunto: 'ILOVEYOU' e incluye un fichero llamado 'LOVE-LETTER-FOR-YOU. TXT.vbs'. Cuando este virus se ejecuta, crea varias copias de sí mismo en el disco duro con los siguientes nombres:

MSKernel32.vbs (en el directorio SYSTEM de Windows) Win32DLL.vbs (en el directorio de instalación de Windows) LOVE-LETTER-FOR-YOU.TXT.vbs (en el directorio SYSTEM de Windows)

Tras esto, el virus crea varias entradas en el registro de configuración de Windows.

VBS/LovelLetter comprueba, en el directorio SYSTEM de Windows, la existencia del fichero WinFAT32.exe. Si lo encuentra genera un número aleatorio entre 1 y 5, y dependiendo del número que resulte, crea la entrada de registro 'HKCU\Software\Microsoft\InternetExplorer\Main\Start, a la que le asigna un valor para bajarse el fichero WIN-BUGSFIX. EXE.[1]

Tras realizar esta operación, el virus genera, en el directorio SYSTEM de Windows, el fichero LOVE-LETTER-FOR-YOU.HTM, que será el que posteriormente envíe por IRC. Después, el gusano se envía a todas las direcciones que encuentra en el libro de direcciones de Microsoft Outlook.

Cuando ya se ha enviado por correo, VBS/LoveLetter realiza su efecto destructivo. En concreto, busca en el path del disco duro y en el de todas las unidades de red archivos con extensión vbs, vbe, js, jse, css, wsh, sct y hta. Cuando los encuentra, los sobreescribe con su código, modifica su tamaño y les cambia la extensión a VBS, lo que conlleva la pérdida de toda la información contenida en los archivos. Si los archivos que encuentra poseen extensión jpg o jpeg también los sobreescribe, cambia su tamaño y les añade, al final la extensión VBS (quedando como jpg.vbs o jpeg.vbs).[1]

Si VBS/LoveLetter encuentra un fichero con extensión mp3 o mp2 genera una copia de sí mismo con el nombre del archivo encontrado y añade la extensión VBS ocultando los ficheros originales. El virus también comprueba si en el directorio en el que se está realizando la búsqueda se encuentra alguno de los siguientes ficheros: mirc32.exe, mlinnk32.exe, mirc.ini, scrip.ini o mirc.hlp. Si los encuentra crea el fichero 'script.ini', que será el encargado de mandar por IRC el fichero LOVE-LETTER-FOR-YOU.HTM a todo aquél que se conecte al mismo canal que él.

Other Languages
العربية: أى لاف يو
azərbaycanca: ILOVEYOU
čeština: I Love You
dansk: ILOVEYOU
Deutsch: Loveletter
English: ILOVEYOU
suomi: Iloveyou
עברית: ILOVEYOU
hrvatski: ILOVEYOU
Հայերեն: ILOVEYOU
italiano: ILOVEYOU
日本語: LOVELETTER
lumbaart: ILOVEYOU
lietuvių: ILOVEYOU
Bahasa Melayu: ILOVEYOU
Nederlands: ILOVEYOU
polski: ILOVEYOU
português: ILOVEYOU
русский: ILOVEYOU
srpskohrvatski / српскохрватски: ILOVEYOU
Simple English: ILOVEYOU
slovenščina: ILOVEYOU
svenska: Love letter
தமிழ்: ஐலவ்யூ