Seguinos

Glosario actualizado el

Historias de virus: ILoveYou

Historias de virus: ILoveYouDurante la mañana, empezaba a saltar la alarma. Un virus se reproducía con gran rapidez entre los servidores de las empresas causando colapsos en los servicios SMTP de un gran número de corporaciones, aparecía así el gusano ILoveYou.
La forma de actuación del virus recordaba en gran medida a Melissa, aunque las primeras informaciones que llegaban decían que este nuevo gusano era mucho más peligroso que su famoso predecesor.
Desde la aparición, en 1988, de un desarrollo creado por Robert Morris Jr que colapsó ARPANET (predecesora de la actual Internet), ningún otro gusano informático había causado tantos daños a la infraestructura de Internet. A pesar de tratarse de un simple virus en Visual Basic Script, su elevada capacidad de reproducción y una buena dosis de ingeniería social hicieron posible que VBS/LoveLetter se pasease por un gran número de ordenadores de todo el mundo.
Este gusano, de nombre técnico VBS.LoveLetter, era realmente un espécimen bastante sencillo, cuyo mayor éxito era el perfecto uso de la ingeniería social para lograr la ejecución del programa por parte del usuario desprevenido. El gusano estaba escrito en Visual Basic Script (VBS) y logró infectar miles de ordenadores de todo el mundo a través del correo electrónico y el IRC.

Un adjunto tentador

Se reprodujo rápidamente; a primeras horas del día ya había un gran número de afectados. A pesar de lo sencillo del código y de lo fácil que resultaba entender su actuación y ofrecer soluciones, muchos antivirus tardaron en ofrecer una solución efectiva, lo cual contribuyó a aumentar la confusión de los usuarios. Y todo por culpa de un mensaje de correo con el asunto «ILOVEYOU», el fichero adjunto «love-letter-for-you.txt.vbs» y el texto que decía: «kindly check the attached LOVELETTER coming from me» (abre con cariño mi CARTA DE AMOR adjunta). Sin duda alguna, éste es el mayor mérito del gusano; propició su difusión, mucho mayor que la de otros similares con una elección menos atractiva para los usuarios.

El gusano propiamente dicho consistía en el archivo «love-letter-for-you.txt.vbs», un ejecutable Visual Basic Script (VBS). Sin embargo, la extensión VBS (propia de los ejecutables Visual Basic Script) podía permanecer oculta en las configuraciones por defecto de Windows, lo que llevaba a pensar que se trataba de un inocente archivo de texto. Por tanto, el usuario no avisado, ilusionado ante una carta de amor, ejecutaba el archivo y la infección ya se había producido. Asimismo, los usuarios de IRC también podían verse afectados, ya que el gusano también se propagaba a través del cliente mIRC enviando vía DCC el fichero «loveletter- for-you.htm».

Interpretación del código

Resultaba sorprendente el revuelo que había armado un virus tan sencillo como éste. Cualquier programador se habría sorprendido al saber cómo estaba realizado, pues se trataba de un simple script. El código era interpretado; ni siquiera llegaba a nosotros un programa compilado, sólo había que abrir el archivo adjunto con el editor de notas para ver el código y lo que hace.
Al tratarse de Visual Basic Script (VBS), el virus se hacia más sencillo aún. Ninguna complicación técnica, un simple script en VBS de menos de 275 líneas. No era necesario tener grandes conocimientos para observar sus acciones. De hecho, cualquier técnico informático de una empresa afectada debería haber sido capaz de poner los medios suficientes para detener su propagación sin recurrir a ninguna ayuda externa. Basta abrir el archivo e interpretar el código.

En busca de su autor

La repercusión de LoveLetter provocó que en todo el mundo empezara a buscar a su autor. En principio las pistas eran pocas, pero la cabecera ya daba algunos indicios sobre dónde iniciar la búsqueda.
Según las primeras líneas de código, el gusano procedía de Manila, Filipinas, y el autor se apodaba «spyder». Aunque no tiene por qué significar nada, fue el punto de partida para que los investigadores comenzaran su trabajo y, días después, lograran atrapar al programador del virus.
Las dos primeras líneas del virus eran las siguientes:
rem barok -loveletter(vbe) <i hate go to school>
rem by: spyder / ispyder@mail.com / @GRAMMERSoft Group / Manila,Philippines

Por ello, todas las miradas apuntaron hacia Manila. Durante algunos días, las fuentes eran muy poco precisas, incluso se llegó a acusar a varios individuos antes de lograr detener al auténtico creador: Onel de Guzmán, un joven filipino de 24 años. Su nacionalidad y la ausencia de legislación en el país oriental sobre este tipo de delitos hacían muy difícil que Onel fuera a la cárcel.
Según se pudo saber, el virus formaba parte de una tesis de uno de los alumnos más aventajados de la Facultad de Informática del colegio universitario AMA, en la capital de Filipinas. El texto de la tesis representaba todo un tutorial sobre cómo acceder a códigos secretos, introducirse en ordenadores ajenos, robo de información electrónica, etc. Curiosamente el trabajo que presentó Onel fue rechazado por los profesores y le suspendieron. Según los investigadores que lo acusaron, éste activó el virus y lo propagó por toda la Red como venganza al suspenso.

Su fuerte, la ingeniería social

Su código era tan simple que puede llegar a interpretarse directamente y sin ningún esfuerzo abriendo el archivo con el Bloc de Notas. Sin duda no ha hecho historia técnicamente, ya que no aportaba nada nuevo, todo se basaba en métodos ya utilizados por otros virus anteriormente. Sin embargo, sí marcó un hito importante por la alta dosis de ingeniería social empleada. ¿Quién se resiste a abrir un mensaje de el/la compañero/a de trabajo titulado como I Love You? Esto sin duda fue lo que provocó que en una mañana todo el mundo desde Estados Unidos hasta Europa estuviera contagiado, sin dar apenas tiempo de reacción a las firmas antivirus.

Curación del gusano

Lo primero que hacía la muestra era copiarse a sí misma con diferentes nombres en distintos directorios del sistema. Creaba el archivo MSKernel32.vbs en el directorio system de Windows, Win32DLL.vbs en el directorio de Windows y «love-letter-foryou.txt.vbs» en el directorio System de Windows. Para asegurarse de que cada vez que se iniciara el ordenador el virus entrara en acción, se empleaba el registro. Así, había que borrar ciertas claves del registro para evitar que el virus se ejecutara de forma automática nada más iniciar el sistema. De la misma forma, también era necesario borrar los archivos: WIN32DLL.VBS, MSKERNEL32. VBS y LOVE-LETTER-FOR-YOU.VBS. Con estos sencillos pasos ya se había conseguido eliminar el gusano del sistema. No había que trabajar demasiado para entender cómo funcionaba, lo que hacía y cómo eliminarlo. De ahí que resultaba inexplicable el revuelo organizado por esta sencilla pieza de código. Desde luego, LoveLetter realizaba más acciones, pero todo se reduce a esto.

Consecuencias

I Love You, al igual que Melissa, producía un efecto colateral en la estructura de la Red. Aparte de los problemas que causaba en la máquina infectada, como la eliminación de determinados archivos, todo Internet se veía afectado por los millones de emails que, de forma extraordinaria, empezaban a sobrecargar los servidores de correo, hasta tal punto que los propios administradores debieron bloquearlos para evitar un daño aún más grande. Esta desconexión y bloqueo es lo que originaba el mayor perjuicio. En estos casos, el problema se extendía ya no sólo a los afectados por el virus, sino que la desconexión de servidores hacía que pueda llegar a resultar una labor compleja el enviar un simple correo. Con todo, aún se tenía que dar «gracias» porque el gusano no contemplara ninguna acción dañina, como por ejemplo borrar los ficheros de los sistemas por donde pasaba.
En conclusión, sea como fuere, lo que más dio que hablar de LoveLetter fue su rápida propagación, que colapsó los servidores de correo de muchas empresas en poco tiempo. Por ejemplo, a raíz de LoveLetter, Microsoft se vio obligada a presentar una actualización de seguridad para los productos de la familia Outlook con el fin de elevar su nivel. Estaba disponible para Outlook 98 y 2000 y se encontraba principalmente dirigida a entornos corporativos.

Sus variantes

LoveLetter no sólo representaba un peligro por sí mismo: otro problema añadido venía de las variantes del virus. Unas simples modificaciones en el código podían hacer que el gusano se presentara bajo otros nombres y pasar por alto los motores antivirus actualizados para el original. Por ello, no tardaron en aparecer variantes y a los pocos días ya se contaban 30 de ellas, aunque desde luego un número bastante alejado de las 500 diferentes que se aventuraron a pronosticar algunos fabricantes de antivirus. Sin embargo, su mayor mérito era la ingeniería social y sólo una de las variantes consiguió provocar que los usuarios abrieran el archivo adjunto.
De todas ellas, la que más incidencias pudo llegar a tener es la catalogada como VBS.LoveLetter.E o también conocida como Mother’s Day. Esta muestra hacía creer que se había realizado un cargo de 326,92 dólares por la compra de un diamante como regalo del día de la madre; se incitaba a abrir el archivo adjunto para obtener información de cómo evitar dicho cargo. Lógicamente, asustados ante un posible cargo en la tarjeta de crédito fueron muchos los que abrieron el archivo y se vieron infectados.

Más contenido

Apartados: ¿Cómo surge una idea?¿Existe la seguridad absoluta?Entrevista laboral: cualquier cosa te llamamosPython, el lenguaje a aprenderUna cursada diferente

Virus/gusanos: CIHHappy99Life StagesMelissaTimofónicaZippedFilesInfecciones vía correo electrónicoDistintas vías de infección

Historias: El MP3Evolución de la informáticaAppleGoogleLinuxMicrosoftSurgimiento de la criptografía