De maker van antivirussoftware heeft zondag op haar site melding gemaakt van het uit Spanje afkomstige VBS/[email protected] en het VBS/[email protected] De twee virussen zijn volgens virusdeskundige Marius van Oers van Network Associates, moederbedrijf van McAfee, waarschijnlijk van dezelfde groep makers afkomstig. McAfee heeft beide virussen een 'medium' risico-beoordeling gegeven. "Tot nu toe hebben we ze nog niet 'in the wild' gesignaleerd. Maar ze kunnen zich via e-mail heel snel verspreiden en hebben wel het potentieel om flinke schade aan te brengen", aldus Van Oers. Zowel [email protected] als [email protected] kunnen alle bestanden op de C:-schijf nagenoeg onbruikbaar maken. [email protected] en [email protected], die voor het eerst werden gesignaleerd in een Usenet-nieuwsgroep, verspreiden zich via e-mails in HTML-opmaak. Het openen van het bewuste mailtje hoeft niet nodig te zijn om besmet te raken: het bekijken van de e-mail kan al voldoende zijn. De computervirussen maken gebruik van een kwetsbaarheid die omschreven wordt als 'Scriptlet.Typelib' en laten het bestand 'loveday14.a-hta' of 'loveday14.b-hta' achter. [email protected] slaat de volgende keer dat de computer wordt aangezet of opgestart toe. In Outlook Express wordt een bestand 'index.html' geplaatst. Het bestand wordt de nieuwe signature in het e-mailprogramma. Het virus wordt vervolgens onzichtbaar meegestuurd met de reguliere mailtjes die iemand verstuurt. De mailtjes zijn dus niet als virus te herkennen, omdat zij geen specifiek subject of attachment bevatten. Het virus stelt in Internet Explorer een Spaanstalige website in als homepage. Kwalijker is dat als de datum op het systeem op 14 (Valentijnsdag), 23 of 29 februari verspringt, de lokale bestanden op de c:-schijf worden verwijderd. In plaats daarvan komen nieuwe, lege subfolders die eindigen op 'happysanvalentin'. "Wanneer de computer eenmaal besmet is en de bewuste data breken aan, dan zit er weinig anders op dan de verdwenen bestanden opnieuw te installeren", zo zegt Van Oers. Wel kan besmetting worden voorkomen door een patch voor de 'Scriptlet.Typelib'-fout op te halen. Verder moet als gebruikelijk de functie 'Active Scripting' worden uitgeschakeld. Het voornaamste verschil tussen [email protected] en de afgeleide [email protected] is dat de laatste folders op de c:-schijf niet verwijdert, maar overschrijft met Spaanse tekstcode. Het effect is niettemin hetzelfde: de folders worden onbruikbaar. [email protected] stuurt zichzelf verder door naar alle e-mailaccounts in het adresboek van Outlook Express. Net als bij [email protected] bevatten de virusmails geen specifiek subject of attachment, het virus wordt onzichtbaar meegestuurd in 'embedded' html-code.