VIRUS UPDATE

[paulag]

We have received a report about a possible new version of the virus that effected us this morning - the subject would contain the text "FORWARD:JOKE" or "FWD:JOKE." This may just be a rumor or hoax, but, for safety's sake, if you receive a message with this subject, please delete it immediately.

[Martha_05]

I don't think that's a hoax. I believe that's another virus.

[Martha_05]

Disguised Versions of 'Love Bug' Continue Rampage.

From Associated Press

Computer users today faced new variations of the destructive "ILOVEYOU" computer virus, including one concealed as a joke and
another as confirmation for a Mother's Day gift order.Computer systems around the world were infected Thursday as the virus disguised as a love letter overwhelmed networks and
burrowed into hard drives, destroying files containing precious photos and video. Today's victims included the United Nations headquarters in New York.
Antivirus experts said the initial outbreak of the bug with "ILOVEYOU" in the subject line seemed to be slowing, but warned
the copycat versions were already making the rounds.At least five copycat variations were spreading today, according to computer security company F-Secure Corp. in San Jose, Calif.
One version comes with an attachment labeled "Very Funny, while another arrives as confirmation that the recipient's credit card has been charged $326.92 for a Mother's Day "diamond special," urging the reader to click on an attachment to print the invoice. Opening either attachment releases the bug.
"When users get such e-mails they assume there is some mistake and will naturally open the attachment-- infecting their computer.
With only eight days to go until Mother's Day, this attack is quite credible," said Mikko Hypponen at F-Secure.
Authorities in the Philippines were investigating leads on the source of the virus attacks based on information from an Internet service provider.
By some estimates, the original "love bug" infected tens of millions of computers worldwide, not only spreading by e-mail like
last year's Melissa virus, but through instant messaging systems that let people chat on the Internet.
And, in another malicious twist, the new virus was designed to destroy several types of increasingly popular computer files, including those storing photographs and video. "If this (virus) is unleashed on your home computer, I hope you have backups. It is a destructive file," said Shawn Hernan, vulnerabilty team manager at the CERT Coordination Center, the government-chartered computer security team at Carnegie Mellon
University in Pittsburgh.
Initially, the bug also attacked by steering a computer's Internet browser to visit a Web site that was later shut down by its service
provider, SKYInternet of the Philippines. At the Web site, the virus would download a program that searched for various types of passwords and sent them to an e-mail account on another Philippines service provider, AccessNet.
Jose Carlotta, chief operating officer of AccessNet, said he believed the virus was initially spread from e-mail accounts on
AccessNet, as well as free e-mail accounts with other providers. Some of the AccessNet e-mail accounts were prepaid with the purchase of plastic cards, much like a prepaid phone card, that don't require the buyer to give personal information. Also, accounts belonging to other users appear to have been broken into to spread the virus.
Carlotta said it was impossible to find the one who created the virus. The company is cooperating with a police investigation.
Computer security experts urged computer users to delete any e-mail with an attachment reading "LOVELETTER" or "Very Funny." The virus is activated by opening the attachment.
The virus targets computers running on Microsoft's Windows operating system, attacking the Outlook e-mail program and the
Internet Explorer browser, both of which are also made by Microsoft.
It spreads like most e-mail viruses, arriving as a seemingly friendly message, infiltrating a person's computer address book and sending copies of itself to contacts listed.
But in addition to overwhelming computer networks with the sheer crush of e-mail it generates, the new virus strikes out at some
of the most popular new passions on the Internet, destroying digital photographs and hiding music files stored with the digital technology known as MP3.
Still, some experts said the worst impact may have been the way the virus crashed e-mail systems and crippled networks. "There were lots of copies of this in mail boxes, but not so much damage," said Carey Nachenberg, chief researcher at Symantec Antivirus Research Center, noting that the Explore.Zip virus that struck last June "was 10 times nastier in terms of its destructive capacity."
The FBI quickly opened a criminal investigation into the outbreak,while computer security firms scurried to post software on their Web sites to scan for the bugs and remove them from infected machines.
The virus disabled e-mail systems on Capitol Hill and in the British parliament. State Department officials found the virus in their
servers early today and "shut off our connection with the outside world," spokesman Richard Boucher said. The flood of infected e-mails forced major corporations like Ford
Motor Co. and Lucent Technologies Inc. to shut down their e-mail systems. New Jersey's state government and government agencies
all across the country did the same.
AT&T shut down an e-mail system serving 145,700 employees:
"We're trying to give our tech support people enough room to find a cleanser and make us pure again," said AT&T spokesman Burke Stinson.
In Britain, about 30 percent of company e-mail systems were brought down by the virus, according to Network Associates, a
computer security firm. In Sweden, the tally was 80 percent.
------
On the Net:
National Infrastructure Protection Center at http://www.nipc.gov/
CERT Coordination Center at http://www.cert.org
Anti-virus companies, including Symantec at
http://www.symantec.com; Network Associates at http://www.nai.com; Dr. Solomon at http://www.drsolomon.com
Copyright 2000 Los Angeles Times

[paulag]

ATLANTA (CNN) -- El peor virus informático del mundo, conocido como el "virus del amor", continuaba haciendo estragos el viernes mientras se propagaba por todo el planeta oculto bajo nuevas identidades e infiltrándose en más y más sistemas
Los expertos dijeron que el virus era mucho más devastador que el conocido como Melissa, que atacó las computadoras el año pasado, y que lo peor todavía no había pasado.
"Esperamos encontrar nuevas variantes", dijo Francis Ludgate, gerente comercial de eTrust, la división de productos de seguridad de la empresa de software Computer Associates.
En una teleconferencia desde Australia, dijo que difícilmente se lo pudiera erradicar antes de un par de semanas. Pero una empresa antivirus de Finlandia estimó que para el lunes podría estar muerto.
Las nuevas variantes pueden eludir los programas antivirus destinados a bloquear el "virus del amor" y causar potencialmente los mismos daños.
"Prevemos que habrá por lo menos una docena de copias en las próximas 24 horas", dijo el experto en seguridad informática Peter Tibbett, que trabaja para ICSA.net, una empresa estadounidense que mide la frecuencia y el costo de los virus en un millón de máquinas por año.
"Habrá centenares de copias", en los próximos días, dijo, "incluso miles".

Las nuevas variantes

Se estima que las pérdidas económicas en todo el mundo superan los mil millones de dólares, y que más de un millón de computadoras fueron infectadas por el virus que se transmite por vía del anexo de un mensaje de correo electrónico.
Este virus es de la especie conocida como gusano, un vándalo insidioso que aparentemente es muy sencillo de programar. Tiene como agente transmisor el programa de correo electrónico Outlook, de Microsoft.
El virus original aparece en los mensajes de correo electrónico como un anexo titulado "ILOVEYOU" (te quiero), lo que induce a los usuarios a abrir el documento, activando así el virus y provocando el caos en sus sistemas.
Una de las variantes dice "Joke" (chiste) en la línea que especifica en tema del mensaje, con un documento anexo titulado "very funny.vbs" (muy gracioso). La terminación .VBS señala que el virus está escrito en VisualBasic, un lenguaje de programación.
Esta copia, que apareció el jueves por la tarde, es según se cree obra de alguien que rebautizó el virus anterior, y no una réplica de sí mismo hecha por éste.
Otro, llamado Susitikim, tiene en la línea relacionada al tema del mensaje las palabras "Susitikim shi vakara kavos puodukui...", pero contiene el mismo archivo anexo del virus del amor.

Precauciones

Tibbett exhorta a los usuarios de computadoras y a las empresas a bloquear como precaución todos los mensajes de correo electrónico que tengan anexos o, si pueden hacerlo, a bloquear aquéllos que tengan como anexos archivos con la terminación .VBS.
El FBI lanzó una investigación para tratar de rastrear el origen del virus, y funcionarios del Centro Nacional de Protección de la Infraestructura analizaban el impacto del ataque.
Los expertos estimaron que la infección afectó a entre el 60 y el 80 por ciento de las empresas estadounidenses y a varios organismos gubernamentales, entre ellos el Departamento de Estado, el Senado y el Pentágono, pero al parecer no sus sistemas secretos.
"No hemos encontrado absolutamente prueba alguna de que esto haya infectado programas de computación secretos", dijo a Reuters el vocero del Departamento de Defensa, Ken Bacon.
En Europa hubo más de 100.000 servidores alcanzados.
El Comisionado Europeo para las Empresas Erkii Liikanen dijo: "El virus del amor es una advertencia para todos nosotros en el sentido de que debe darse máxima prioridad a la seguridad si es que queremos mantener la confianza del consumidor y el usuario, y avanzar a la era de la información".
Alemania dijo que el virus había penetrado en sus ministerios de asuntos exteriores, justicia, interior y economía. Un vocero del gobierno dijo que no había daños serios, pero el Ministerio del Interior organizó un equipo especial para asesorar en medidas de protección.
La Asociación de Consumidores de Gran Bretaña dijo que entre el 30 y el 50 por ciento de las empresas parecían haber sido afectadas. "Se extiende con mucha rapidez. Ayer teníamos entre un 10 y un 15 por ciento", dijo Alan Stevens, jefe de servicios digitales de la asociación.

Los orígenes

Algunas claves contenidas en el código del virus indican que pudo haberse originado en las Filipinas.
En la cabecera del programa aparece el alias "spyder", junto a una dirección anónima de correo electrónico y el nombre de una empresa. Esta firmado "Manila, Filipinas" e incluye el comentario "no me gusta el colegio".
Fuentes policiales filipinas dijeron que el autor del virus podría ser un hombre de 23 años que vive en un suburbio de manila.
Agregaron que la policía investigaba el caso a pedido del FBI. Un provedor de servicios de Internet de Manila, había dicho anteriormente que el virus parecía haberse propagado a partir de dos de sus cuentas de correo electrónico.
Un vocero de Super.net, que provee servicios de Internet mediante la venta de tarjetas prepagas, dijo que comenzaron a encontrar problemas el martes cuando sus computadoras fueron afectadas por dos virus, uno de ellos el "ILOVEYOU".
"En ese momento no nos dimos cuenta de que los autores del virus que supuestamente están en las Filipinas habían usado una de nuestras tarjetas para crear una dirección anónima. Cuando recibimos informes de que los virus habían sido rastreados hasta aquí desactivamos la direcciones", agregó.
Los usuarios de Super.net adquieren una tarjeta y utilizan el nombre y la contraseña contenidos en ella para acceder a Internet por un período determinado. El funcionario de Super.net dijo que dado que se había usado una de esas tarjetas, iba a ser muy difícil rastrear al autor.