C:\WINDOWS\Demonik\SATANIK CHILD\Has Fucked Up Your Computer\Dont Be Surprised\SATANIK CHILD Is An Evil Mother Fucker\Because He Also\Installed A DEMONIC WORM\The Funny Thing Though\AntiVirus Companies Do Not Recognize It Yet

Para propagarse, utiliza el Outlook, enviando uno de los siguientes mensajes a todos los contactos de nuestra libreta de direcciones:

Asunto: Demonik_Worm_VBS
Texto:
Some people may find this offensive but I HAD to know what you think.

Archivo adjunto: Info_ON_New_WORM.vbs


Asunto: WARNING: A NEW DESTRUCTIVE WORM HAS BEEN DISCOVERED
Texto:
This worm might not even be detected yet. DEMONIC_WORM

Archivo adjunto: Evil_VBS.vbs

BAT_ATARIS.D es el nombre del virus que se copia como DEMONIK.BAT. Además se crea un falso vínculo en el escritorio de Windows (el nombre del archivo es: "I-n-f-o O-n N-e-w D-a-n-g-e-r-o-u-s W-o-r-m.lnk".

Si el usuario infectado tiene un disquete insertado en A:, el gusano libera el virus: NATAS.VBS.

Estos archivos son creados por el virus.

C:\WINDOWS\WINDOWS.VBS 
C:\WINDOWS\SCRIPT.VBS
C:\WINDOWS\NATAS.VBS
C:\WINDOWS\SYSTEM\VBSCRIPT.VBS 
C:\WINDOWS\SYSTEM\DEMONIK.VBS
C:\WINDOWS\SYSTEM\SATANIK_CHILD.VBS

Además se modifican o se crean las siguientes claves del registro:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
VBSCRIPT=C:\WINDOWS\SYSTEM\VBSCRIPT.VBS

HKEY_LOCAL_MACHINES\Software\Microsoft\Windows\CurrentVersion\Run
Demonik=C:\WINDOWS\DEMONIK.GOD

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
anti-windows=C:\WINDOWS\DEMONIK.GOD

Como limpiar el virus en forma manual

1. Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER)

2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINES
software
Microsoft
Windows
CurrentVersion
Run

3. En el panel de la derecha busque por cualquiera de las claves que contenga algunos de los siguientes valores:

VBSCRIPT = C:\WINDOWS\SYSTEM\VBSCRIPT.VBS 
Script File = C:\WINDOWS\SCRIPT.VBS
Demonik = C:\WINDOWS\DEMONIK.GOD
anti-windows = C:\WINDOWS\DEMONIK.GOD

4. Marque la clave que aparezca, y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave. Repita el paso 3 hasta borrar todas las claves que aparezcan de ser necesario.

5. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

6. Reinicie su PC (Inicio, Apagar el sistema, Reiniciar)

7. Ejecute uno (o más) antivirus actualizado en su sistema.

Fuente: Trend Micro, McAfee


Ver también:
03/mar/01 - Html_Satanik.B. Sobrescribe muchos formatos conocidos
24/feb/01 - Algunas recomendaciones sobre los virus escritos en VBS
16/feb/01 - VBS.Satanik.Child. Se propaga vía e-mail, borra antivirus
24/ene/01 - Html_Satanik.A. Versión HTML del Lovetter.BG
24/ene/01 - BAT_Ataris.D. Borra archivos de algunos antivirus
24/ene/01 - TROJ_Multidrp.AE. Libera al Loveletter.BG, HTML_Satanik
28/dic/00 - VBS/MBot-A (MatrixBot). Un clon del LoveLetter
12/dic/00 - VBS/LoveLet-CA. Variante del "Colombia"
04/nov/00 - Virus: VBS_LoveLettr.AS - Plan Colombia
17/ago/00 - Virus: LoveLetter.BD
30/may/00 - Virus: FIREBURN. LoveLetter ataca de nuevo
30/may/00 - Virus: I-Worm.CoolNotepad. Otra variación del LoveLetter
26/may/00 - Anti-iloveyou2.exe: Falsa cura para el LoveLetter (I LOVE YOU)
20/may/00 - Virus: NewLove
07/may/00 - Especial sobre el LoveLetter
04/may/00 - Virus: Love-Letter