Asunto: MIRKO
Texto del mensaje: Che stai facendo ????
Datos adjuntos: Mirko.bat

El adjunto es realmente un archivo batch (.BAT, proceso por lotes de MS-DOS), que cuando es abierto por el usuario mediante un doble clic sobre él, realiza las siguientes acciones:

1. Crea esta carpeta:

C:\Windows\Mk

2. Crea los siguientes archivos:

C:\Windows\Mirko.vbs 
C:\Windows\Mirko.reg 
C:\Windows\Mk\Mirko.vbs 
C:\Windows\Desktop\Mirko.txt

3. El gusano se copia a si mismo en este archivo:

C:\Windows\Mk\Mirko.bat

4. Agrega la siguiente línea al final del archivo C:\Autoexec.bat:

@call C:\windows\system\mirko.bat

5. Intenta modificar el registro de Windows para autoejecutarse en próximos reinicios del sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
mirko = c:\windows\mk\mirko.bat

6. Realiza la búsqueda del archivo C:\Windows\Desktop\Mirko.txt. Si no lo encuentra, comienza un formateo rápido de la unidad C:

Es importante tener en cuenta que en las versiones de Windows diferentes a la inglesa, la carpeta C:\Windows\Desktop no existe, por lo que el gusano en principio procedería siempre a realizar un formateo rápido del disco de su víctima.

7. El gusano utiliza el archivo C:\Windows\Mirko.vbs para enviarse a si mismo a todos los contactos de la libreta de direcciones del Outlook, en un mensaje con las características ya vistas más arriba.

8. Finalmente, el gusano utiliza el contenido de C:\Windows\Mk\Mirko.vbs para mostrar una pequeña ventana de diálogo con el siguiente texto:

MIRKO
          MIRKO
    [     OK     ]

Reparación manual

Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:

1. Actualice sus antivirus

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados por VBS/Krim

4. Con el Explorador de Windows, borre los siguientes archivos (si aparecen):

C:\Windows\Mk\Mirko.vbs
C:\Windows\Mirko.reg
C:\Windows\Desktop\Mirko.txt

6. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

7. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

8. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

mirko         "c:\windows\mk\mirko.bat"

9. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

Método para revisar Autoexec.bat

Esto sólo es necesario en computadoras bajo Windows 95/98 y Me.

Usuarios de Windows Me solamente:

En el caso de los usuarios de Windows Me, debido al proceso de autoprotección de esta versión de Windows, existe una copia de respaldo del archivo AUTOEXEC.BAT en la carpeta C:\Windows\Recent.

Se recomienda borrar esta copia antes de proceder a los siguientes cambios. Para ello, desde el Explorador de Windows, abra la carpeta C:\Windows\Recent, y en el panel de la derecha, seleccione y borre Autoexec.bat. Este archivo se regenerará como una copia del archivo que a continuación modificaremos, al grabar los cambios hechos.

Usuarios de Windows 95, 98 y Me:

1. Pulse el botón Inicio y luego Ejecutar

2. Escriba lo siguiente y pulse OK.

edit   c:\autoexec.bat

Se abrirá el editor de MS-DOS con el contenido de c:\autoexec.bat

3. Borre la siguiente línea si ésta existiera:

@call C:\windows\system\mirko.bat

4. Seleccione Archivo, Guardar, para grabar los cambios, y luego reinicie su PC.


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com