VBS/Krim.B. Asunto: SMS for YOU by Valentina

Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número

desde el 12 de agosto de 1996

VSantivirus No. 712 - Año 6 - Miércoles 19 de junio de 2002

VBS/Krim.B. Asunto: SMS for YOU by Valentina
http://www.vsantivirus.com/krim-b.htm

Nombre: VBS/Krim.B
Tipo: Gusano de Visual Basic Script
Alias: VBS.Krim.B
Fecha: 15/jun/02
Plataformas: Windows 9x, Me, NT, 2000 y XP
Tamaño: 1,998 bytes
Fuente: Symantec

Este gusano es una variante del VBS/Krim, y está escrito en Visual Basic Script (VBS). Utiliza las funciones MAPI implementadas en Outlook y Outlook Express para propagarse por medio de mensajes infectados con su código a todos los contactos de la libreta de direcciones del Outlook.

El mensaje que el gusano emplea para enviarse, tiene estas características:

Asunto: SMS for YOU by Valentina

Texto del mensaje:
Apri il tuo cuore !
Valentina ti sta aspettando a Lecce

Datos adjuntos: Mirko.bat

El adjunto es realmente un archivo batch (.BAT, proceso por lotes de MS-DOS), que cuando es abierto por el usuario mediante un doble clic sobre él, se ejecuta, creando la siguiente carpeta:

C:\Windows\Vale

Luego, crea los siguientes archivos:

C:\Mirkoz.reg
C:\Windows\Mirko.reg
C:\Vale.vbs
C:\Mirko.vbs
C:\Windows\Vale\Vale.bat
C:\Windows\Vale\Mirko.bat

El archivo Vale.vbs contiene la rutina de propagación, Mirko.vbs muestra el mensaje "SMS for YOU by Valentina@mm." y Vale.bat es el componente principal. El archivo Mirko.bat tiene las instrucciones para formatear la unidad C, si encuentra el archivo C:\Mirko.vbs en el sistema.

Si ello ocurre, el archivo Mirko.bat agrega la siguiente línea al final del archivo C:\Autoexec.bat:

call C:\windows\vale\mirko.bat

También intenta modificar el registro de Windows para autoejecutarse en próximos reinicios, pero falla debido a un error en su código. De este modo solo se ejecuta la primera vez. Sin embargo, puede haber modificado el archivo AUTOEXEC.BAT lo que lanzaría el formateo del disco duro en el próximo reinicio (Windows 9x).

El gusano utiliza el archivo C:\Vale.vbs para enviarse a si mismo a todos los contactos de la libreta de direcciones del Outlook, en un mensaje con las características ya vistas anteriormente.

Reparación manual

Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:

1. Actualice sus antivirus

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados

4. Con el Explorador de Windows, borre los siguientes archivos (si aparecen):

C:\Mirkoz.reg
C:\Windows\Mirko.reg
C:\Mirko.vbs
C:\Windows\Vale\Mirko.bat

Método para revisar Autoexec.bat

Esto sólo es necesario en computadoras bajo Windows 95/98 y Me.

Usuarios de Windows Me solamente:

En el caso de los usuarios de Windows Me, debido al proceso de autoprotección de esta versión de Windows, existe una copia de respaldo del archivo AUTOEXEC.BAT en la carpeta C:\Windows\Recent.

Se recomienda borrar esta copia antes de proceder a los siguientes cambios. Para ello, desde el Explorador de Windows, abra la carpeta C:\Windows\Recent, y en el panel de la derecha, seleccione y borre Autoexec.bat. Este archivo se regenerará como una copia del archivo que a continuación modificaremos, al grabar los cambios hechos.

Usuarios de Windows 95, 98 y Me:

1. Pulse el botón Inicio y luego Ejecutar

2. Escriba lo siguiente y pulse OK.

edit c:\autoexec.bat

Se abrirá el editor de MS-DOS con el contenido de c:\autoexec.bat

3. Borre la siguiente línea si ésta existiera:

call C:\windows\vale\mirko.bat

4. Seleccione Archivo, Guardar, para grabar los cambios, y luego reinicie su PC.

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com