Virus: Html_Satanik.B. Sobrescribe muchos formatos conocidos

Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número

desde el 12 de agosto de 1996

VSantivirus No. 238 - Año 5 - Sábado 3 de marzo de 2001

Nombre: Html_Satanik.B
Tipo: Virus de HTML
Alias: VBS/Loveletter@MM, VBS.Rewind.A@MM, SATANIK.B
Destructivo: Si
Tamaño: 7,501 bytes
Activo: No se han reportado casos

Se trata de un destructivo virus de HTML (Hyper Text Markup Language), escrito en Visual Basic Script (VBS). Su acción sobreescribe la mayoría de los formatos conocidos de archivos. Es capaz de propagarse vía Outlook, y se envía una vez cada 20 ejecuciones.

Cuando se ejecuta, el virus copia su código en las siguientes ubicaciones:

C:\WINDOWS\System\Explorer32.vbs
C:\WINDOWS\EXPLORER.VBS
C:\WINDOWS\System\satanik.dmk
C:\WINDOWS\System\MSApps\satanik.dmk

Agrega también las siguientes entradas al registro, para poder ejecutarse en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Explorer32 = C:\WINDOWS\System\Explorer32.vbs

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
EXPLORER = C:\WINDOWS\EXPLORER.VBS

También crea o modifica las siguientes claves:

HKCU\.dmk = VBSFile

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Iexplore = "http://users.tmok.com/~dr_bulge/smt1/"

También sobreescribe el archivo AUTOEXEC.BAT con los comandos para borrar todos los archivos en los siguientes directorios:

C:\Progra~1\Antivi~1\*.*
C:\Progra~1\Networ~1\McAffe~1\*.*
C:\Progra~1\Norton~1\*.*
C:\Progra~1\Fsi\*.*

Luego muestra el siguiente mensaje:

Windows loading...
SATANIK CHILD S A T A N I K C H I L D SATANIK CHILD A virus by Satanik Child has been detected! Windows is destroyed! (c) SC

El virus busca la presencia de las carpetas C:\MIRC o C:\MIRC32, si los encuentra, sobreescribe el archivo SCRIPT.INI del cliente de IRC mIRC, con el código de un gusano de IRC que envía el archivo del virus cuando el usuario infectado se une a un canal de chat.

El virus también es capaz de enviar copias de si mismo vía e-mail a todas las entradas de la libreta de direcciones de Outlook, en mensajes como el siguiente:

Asunto: I picked this one especially for you my Sweetheart!
Texto: I wanna fuck you like an animal!
Archivos adjuntos: varios

El virus revisa la siguiente clave del registro, la que contiene un contador, para enviarse una vez cada 20 ejecuciones del mismo:

HKLM\Explorer32

Sobreescribe los archivos con las siguientes terminaciones, y agrega la extensión .VBS, para que estos se ejecuten como archivos VBScript:

MP3
MP2
WAV
TXT
DOC
LOG
BMP
GIF
JPG
FLA
JS
HTML
SWF
WMF
PNG
HTM
AVI
MID
ZIP
RAR
PIF
PDF

El virus también es capaz de propagarse en unidades de disco compartidas en una red, o unidades removibles. Es capaz de revisar todas las unidades de red, en busca de unidades habilitadas para escritura, donde se copia a si mismo desde el archivo SATANIK.DMK (la extensión .DMK ha sido asignada por el virus a los archivos .VBS).

Para quitarlo manualmente:

1. Desde Inicio, Ejecutar, teclee REGEDIT y pulse Enter.

2. Busque las siguientes claves:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run

3. Borre la entrada: Explorer32
4. Borre la entrada: Iexplore

5. Busque también:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
RunServices

6. Borre la entrada: EXPLORER

7. Busque también:

HKEY_CURRENT_USER\.dmk

8. Borre la entrada: .dmk

9. Salga del editor del registro (Registro, Salir), reinicie Windows.

10. Ejecute un antivirus actualizado.

Fuente: Trend Micro

Vea también:
24/feb/01 - Algunas recomendaciones sobre los virus escritos en VBS

23/ene/01 - VBS_Lovelettr.Bg. Variante del Loveletter
24/ene/01 - Html_Satanik.A. Versión HTML del Lovetter.BG
16/feb/01 - VBS.Satanik.Child. Se propaga vía e-mail, borra antivirus