VBS.Bernie@mm, VBS.Neiber.A@mm, I-worm.Bernie

Bernie, es un gusano reportado el 09 de Agosto del 2002, con efectos destructivos, de alta propagación masiva debido a que el mensaje de correo que contiene el código viral no tiene archivo anexado ni ningún contenido visible, pues éste se encuentra oculto dentro de un formato HTML.

Es un PE (Portable Ejecutable) e infecta los sistemas Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000.

Al activar el archivo infectado, el gusano copia el archivo Bernie.vbs en el directorio de C:\Windows\System y para ejecutarse la próxima vez que se inicie el sistema agrega la siguiente llave de registro: 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Bernie = "wscript.exe %system%\Bernie.vbs"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP.

El gusano verifica si el valor enviado es igual a "1" en la llave de registro y si el valor no es igual a “1” el gusano se auto-enviará a los buzones de la Libreta de Direcciones de Microsoft Outlook.

Sus payloads consisten en:

• Auto-envío masivo de correo a la Libreta de Direcciones de MS Outlook y Outlook Express.
• Después de enviar los mensajes, el gusano busca en las unidades locales y compartidas los archivos con extensión .vbs o .vbe y los sobre-escribe con su código viral, dejándolos inutilizables.
• Finalmente el gusano abre numerosas copias del Notepad hasta lograr que el sistema colapse.

Para evitar este tipo de infecciones se debe deshabilitar la opción "Mostar panel de vista previa" en MS Outlook y Outlook Express del siguiente modo: 

Desmarque la opción Mostrar panel de vista previa, haga click en "Aplicar" y luego en "Aceptar". 

PER ANTIVIRUS® versión 7.6 con registro de virus al 09 de Agosto del 2002 detecta y elimina eficientemente este gusano.