Historias de virus: ILoveYou
Durante la mañana del 4 de mayo del 2000, empezaba a saltar la alarma. Un
virus se reproducía con gran rapidez entre los
servidores de las empresas causando colapsos en los servicios
SMTP de un gran número de corporaciones, aparecía así el gusano
ILoveYou.
La forma de actuación del
virus recordaba en gran medida a
Melissa, aunque las primeras informaciones que llegaban decían que este nuevo
gusano era mucho más peligroso que su famoso predecesor.
Desde la aparición, en 1988, de un desarrollo creado por
Robert Morris Jr que colapsó
ARPANET (predecesora de la actual
Internet), ningún otro
gusano informático había causado tantos daños a la infraestructura de
Internet. A pesar de tratarse de un simple
virus en
Visual Basic Script, su elevada capacidad de reproducción y una buena dosis de
ingeniería social hicieron posible que
VBS/LoveLetter se pasease por un gran número de ordenadores de todo el mundo.
Este
gusano, de nombre técnico
VBS.LoveLetter, era realmente un espécimen bastante sencillo, cuyo mayor éxito era el perfecto uso de la
ingeniería social para lograr la ejecución del programa por parte del
usuario desprevenido. El
gusano estaba escrito en
Visual Basic Script (
VBS) y logró infectar miles de
ordenadores de todo el mundo a través del
correo electrónico y el
IRC.
Un adjunto tentador
ILoveYou se reprodujo rápidamente; a primeras horas del día ya había un gran número de afectados. A pesar de lo sencillo del código y de lo fácil que resultaba entender su actuación y ofrecer soluciones, muchos antivirus tardaron en ofrecer una solución efectiva, lo cual contribuyó a aumentar la confusión de los usuarios. Y todo por culpa de un mensaje de correo con el asunto «ILOVEYOU», el fichero adjunto «love-letter-for-you.txt.vbs» y el texto que decía: «kindly check the attached LOVELETTER coming from me» (abre con cariño mi CARTA DE AMOR adjunta). Sin duda alguna, éste es el mayor mérito del gusano; propició su difusión, mucho mayor que la de otros similares con una elección menos atractiva para los usuarios.
El
gusano propiamente dicho consistía en el
archivo «love-letter-for-you.txt.vbs
», un ejecutable
Visual Basic Script (
VBS). Sin embargo, la extensión
VBS (propia de los ejecutables
Visual Basic Script) podía permanecer oculta en las configuraciones por defecto de
Windows, lo que llevaba a pensar que se trataba de un inocente
archivo de texto. Por tanto, el
usuario no avisado, ilusionado ante una carta de amor, ejecutaba el
archivo y la infección ya se había producido. Asimismo, los
usuarios de
IRC también podían verse afectados, ya que el
gusano también se propagaba a través del cliente
mIRC enviando vía
DCC el
fichero «loveletter- for-you.htm
».
Interpretación del código
Resultaba sorprendente el revuelo que había armado un
virus tan sencillo como éste. Cualquier
programador se habría sorprendido al saber cómo estaba realizado, pues se trataba de un simple script. El
código era interpretado; ni siquiera llegaba a nosotros un programa compilado, sólo había que abrir el archivo adjunto con el editor de notas para ver el
código y lo que hace.
Al tratarse de
Visual Basic Script (
VBS), el
virus se hacia más sencillo aún. Ninguna complicación técnica, un simple script en
VBS de menos de 275 líneas. No era necesario tener grandes conocimientos para observar sus acciones. De hecho, cualquier técnico informático de una empresa afectada debería haber sido capaz de poner los medios suficientes para detener su propagación sin recurrir a ninguna ayuda externa. Bastaba con abrir el
archivo e interpretar el
código.
En busca de su autor
La repercusión de
LoveLetter provocó que en todo el mundo se empezara a buscar a su autor. En principio las pistas eran pocas, pero la cabecera ya daba algunos indicios sobre dónde iniciar la búsqueda.
Según las primeras líneas de
código, el
gusano procedía de Manila, Filipinas, y el autor se apodaba
«spyder
». Aunque no tiene por qué significar nada, fue el punto de partida para que los investigadores comenzaran su trabajo y, días después, lograran atrapar al
programador del
virus.
Las dos primeras líneas del
virus eran las siguientes:
rem barok -loveletter(vbe) <i hate go to
school>
rem by: spyder / ispyder@mail.com / @GRAMMERSoft Group / Manila,Philippines
Por ello, todas las miradas apuntaron hacia Manila. Durante algunos días, las fuentes eran muy poco precisas, incluso se llegó a acusar a varios individuos antes de lograr detener al auténtico creador:
Onel de Guzmán, un joven filipino de 24 años. Su nacionalidad y la ausencia de legislación en el país oriental sobre este tipo de delitos hacían muy difícil que
Onel fuera a la cárcel.
Según se pudo saber, el
virus formaba parte de una tesis de uno de los alumnos más aventajados de la Facultad de Informática del colegio universitario AMA, en la capital de Filipinas. El texto de la tesis representaba todo un tutorial sobre cómo acceder a códigos secretos, introducirse en ordenadores ajenos, robo de información electrónica, etc. Curiosamente el trabajo que presentó
Onel fue rechazado por los profesores y le suspendieron. Según los investigadores que lo acusaron, éste activó el
virus y lo propagó por toda la Red como venganza al suspenso.
Su fuerte, la ingeniería social
Su código era tan simple que puede llegar a interpretarse directamente y sin ningún esfuerzo abriendo el archivo con el
Bloc de Notas. Sin duda no ha hecho historia técnicamente, ya que no aportaba nada nuevo, todo se basaba en métodos ya utilizados por otros
virus anteriormente. Sin embargo, sí marcó un hito importante por la alta dosis de
ingeniería social empleada. ¿Quién se resiste a abrir un mensaje de el/la compañero/a de trabajo titulado como I Love You? Esto sin duda fue lo que provocó que en una mañana todo el mundo desde Estados Unidos hasta Europa estuviera contagiado, sin dar apenas tiempo de reacción a las firmas
antivirus.
Activación y curación del gusano
Lo primero que hacía la muestra era copiarse a sí misma con diferentes nombres en distintos
directorios del sistema. Creaba el
archivo MSKernel32.vbs en el
directorio system de Windows,
Win32DLL.vbs en el
directorio de Windows y
«love-letter-foryou.txt.vbs
» en el
directorio System de Windows. Para asegurarse de que cada vez que se iniciara el ordenador el
virus entrara en acción, se empleaba el
registro. Así, había que borrar ciertas claves del
registro para evitar que el
virus se ejecutara de forma automática nada más iniciar el sistema. De la misma forma, también era necesario borrar los
archivos:
WIN32DLL.VBS,
MSKERNEL32. VBS y
LOVE-LETTER-FOR-YOU.VBS. Con estos sencillos pasos ya se había conseguido eliminar el
gusano del sistema. No había que trabajar demasiado para entender cómo funcionaba, lo que hacía y cómo eliminarlo. De ahí que resultaba inexplicable el revuelo organizado por esta sencilla pieza de
código. Desde luego,
LoveLetter realizaba más acciones, pero todo se reducía a esto.
Consecuencias de ILoveYou
ILoveYou, al igual que
Melissa, producía un efecto colateral en la estructura de la Red. Aparte de los problemas que causaba en la máquina infectada, como la eliminación de determinados archivos, todo
Internet se veía afectado por los millones de emails que, de forma extraordinaria, empezaban a sobrecargar los
servidores de correo, hasta tal punto que los propios administradores debieron bloquearlos para evitar un daño aún más grande. Esta desconexión y bloqueo es lo que originaba el mayor perjuicio. En estos casos, el problema se extendía ya no sólo a los afectados por el
virus, sino que la desconexión de servidores hacía que pueda llegar a resultar una labor compleja el enviar un simple correo. Con todo, aún se tenía que dar
«gracias
» porque el
gusano no contemplara ninguna acción dañina, como por ejemplo borrar los ficheros de los sistemas por donde pasaba.
En conclusión, sea como fuere, lo que más dio que hablar de
LoveLetter fue su rápida propagación, que colapsó los
servidores de correo de muchas empresas en poco tiempo. Por ejemplo, a raíz de
LoveLetter,
Microsoft se vio obligada a presentar una actualización de seguridad para los productos de la familia
Outlook con el fin de elevar su nivel. Estaba disponible para
Outlook 98 y
2000 y se encontraba principalmente dirigida a entornos corporativos.
Sus variantes
LoveLetter no sólo representaba un peligro por sí mismo: otro problema añadido venía de las variantes del
virus. Unas simples modificaciones en el
código podían hacer que el
gusano se presentara bajo otros nombres y pasar por alto los motores
antivirus actualizados para el original. Por ello, no tardaron en aparecer variantes y a los pocos días ya se contaban 30 de ellas, aunque desde luego un número bastante alejado de las 500 diferentes que se aventuraron a pronosticar algunos fabricantes de
antivirus. Sin embargo, su mayor mérito era la
ingeniería social y sólo una de las variantes consiguió provocar que los
usuarios abrieran el archivo adjunto.
De todas ellas, la que más incidencias pudo llegar a tener era la catalogada como
VBS.LoveLetter.E o también conocida como
Mother’s Day. Esta muestra hacía creer que se había realizado un cargo de
326,92 dólares por la compra de un diamante como regalo del día de la madre; se incitaba a abrir el archivo adjunto para obtener información de cómo evitar dicho cargo. Lógicamente, asustados ante un posible cargo en la tarjeta de crédito fueron muchos los que abrieron el archivo y se vieron infectados.
Ver también
En el glosario: Antivirus —
Código —
Código fuente —
Correo electrónico —
DCC —
Gusano —
Ingeniería social —
Registro —
VBS —
Virus.
Más contenido Apartados: ¿Cómo optimizar y aumentar la velocidad de Internet? • ¿Cómo surge una idea? • ¿Existe la seguridad absoluta? • Consejos en la ergonomía informática • Consejos para aprender a programar • El auge de las redes sociales • En la búsqueda de archivos torrents • Entrevista laboral: cualquier cosa te llamamos • Herramientas de respaldo y recuperación de archivos • ¿Se puede estar sin Internet? • ¿Seremos dependientes de la IA como lo somos de Internet? • Una cursada diferente
Virus/gusanos: El origen de los virus • CIH • Happy99 • Hybris • Life Stages • Melissa • Timofónica • ZippedFiles • Infecciones vía correo electrónico • Distintas vías de infección • Virus informáticos con historia
Historias: ¿Cómo surgió la imprenta? • Acerca de paquetes ofimáticos • El CD • El MP3 • Evolución de la informática • Apple • Google • La evolución de los Disc Jockeys • Linux
• La lógica • Microsoft • Navegadores de Internet • Origen y evolución de Internet • Redes neuronales artificiales • Surgimiento de la criptografía • Tarjetas gráficas
Videojuegos/consolas: Evolución de las consolas • Evolución de los videojuegos • Inventores de videojuegos • Jugando con la Xbox • SimCity • Videojuegos violentos