Un 4 de mayo de 2000...

Durante la mañana, empezaba a saltar la alarma. Un virus se reproducía con gran rapidez entre los servidores de las empresas causando colapsos en los servicios SMTP de un gran número de corporaciones, aparecía así el gusano ILoveYou.
La forma de actuación del virus recordaba en gran medida a Melissa, aunque las primeras informaciones que llegaban decían que este nuevo gusano era mucho más peligroso que su famoso predecesor.
De nombre técnico VBS.LoveLetter, era realmente un espécimen bastante sencillo, cuyo mayor éxito era el perfecto uso de la ingeniería social para lograr la ejecución del programa por parte del usuario desprevenido. El gusano estaba escrito en Visual Basic Script (VBS) y logró infectar miles de ordenadores de todo el mundo a través del correo electrónico y el IRC.

Un adjunto tentador

Se reprodujo rápidamente; a primeras horas del día ya había un gran número de afectados. A pesar de lo sencillo del código y de lo fácil que resultaba entender su actuación y ofrecer soluciones, muchos antivirus tardaron en ofrecer una solución efectiva, lo cual contribuyó a aumentar la confusión de los usuarios. Y todo por culpa de un mensaje de correo con el asunto «ILOVEYOU», el fichero adjunto «love-letter-for-you.txt.vbs» y el texto que decía: «kindly check the attached LOVELETTER coming from me» (abre con cariño mi CARTA DE AMOR adjunta). Sin duda alguna, éste es el mayor mérito del gusano; propició su difusión, mucho mayor que la de otros similares con una elección menos atractiva para los usuarios.

El gusano propiamente dicho consistía en el archivo «love-letter-for-you.txt.vbs», un ejecutable Visual Basic Script. Sin embargo, la extensión VBS (propia de los ejecutables Visual Basic Script) podía permanecer oculta en las configuraciones por defecto de Windows, lo que llevaba a pensar que se trataba de un inocente archivo de texto. Por tanto, el usuario no avisado, ilusionado ante una carta de amor, ejecutaba el archivo y la infección ya se había producido. Asimismo, los usuarios de IRC también podían verse afectados, ya que el gusano también se propagaba a través del cliente mIRC enviando vía DCC el fichero «loveletter- for-you.htm».

Inerpretación del código

Resulta sorprendente el revuelo que había armado un virus tan sencillo como éste. Cualquier programador se habría sorprendido al saber cómo estaba realizado, pues se trataba de un simple script. El código era interpretado; ni siquiera llegaba a nosotros un programa compilado, sólo había que abrir el archivo adjunto con el editor de notas para ver el código y lo que hace.
Al tratarse de Visual Basic Script, el virus se hacia más sencillo aún. No era necesario tener grandes conocimientos para observar sus acciones. De hecho, cualquier técnico informático de una empresa afectada debería haber sido capaz de poner los medios suficientes para detener su propagación sin recurrir a ninguna ayuda externa. Bastaba abrir el archivo e interpretar el código.
Según las primeras líneas de código, el gusano procedía de Manila, Filipinas, y el autor se apoda «spyder». Aunque no tiene por qué significar nada, fue el punto de partida para que los investigadores comenzaran su trabajo y, días después, lograran atrapar al programador del virus.

Curación y consecuencias del gusano

Lo primero que hacía la muestra era copiarse a sí misma con diferentes nombres en distintos directorios del sistema. Creaba el archivo MSKernel32.vbs en el directorio system de Windows, Win32DLL.vbs en el directorio de Windows y «love-letter-foryou.txt.vbs» en el directorio System de Windows. Para asegurarse de que cada vez que se iniciara el ordenador el virus entrara en acción, se empleaba el registro. Así, había que borrar ciertas claves del registro para evitar que el virus se ejecutara de forma automática nada más iniciar el sistema. De la misma forma, también era necesario borrar los archivos: WIN32DLL.VBS, MSKERNEL32. VBS y LOVE-LETTER-FOR-YOU.VBS. Con estos sencillos pasos ya se había conseguido eliminar el gusano del sistema. No había que trabajar demasiado para entender cómo funcionaba, lo que hacía y cómo eliminarlo. De ahí que resultaba inexplicable el revuelo organizado por esta sencilla pieza de código. Desde luego, LoveLetter realizaba más acciones, pero todo se reducía a esto.
Sea como fuere, lo que más dio que hablar de LoveLetter fue su rápida propagación, que colapsó los servidores de correo de muchas empresas en poco tiempo.

---