|
VBS/Krim.D@mm, Vbs.Zokrim@mm, VBS/Rimko@mm
Krim.D es un gusano reportado el 27 de Febrero del 2003, variante del Krim, de propagación masiva a través de mensajes de correo, con un archivo anexado de nombre Vale.bat el mismo que contiene un Vbs. Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface) se auto-envía a todos los buzones de la Libreta de Direcciones de MS Outlook y Outlook Express y en el caso de encontrar la aplicación mIRC, también se difundirá vía el IRC (Internet Chat Relay).
Es un Visual Basic Script, con una extensión de 5.3 KB e
infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/XP
Al ejecutar el archivo anexado el gusano crea la carpeta %Windir%
\Mkz y se auto-copia con los siguientes nombres a las siguientes rutas:%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP y C:\Winnt en Windows NT\2000.
Para ejecutarse la próxima vez que se inicie el sistema, el gusano crea la siguiente llave de registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"default" = C:\Vale.bat
Únicamente en Windows 95/98/Me renombra el archivo Format.com de la ruta %Windir%\Command\Format.com por Vale.com.
A continuación insertará una línea al final del archivo C:\AUTOEXEC.BAT:El archivo Velen.bat buscará la presencia del archivo Vale.bat y si no puede hallarlo, entonces ejecutará su destructivo payload, que consiste en formatear el disco C:
Para infectar a través del IRC (Internet Chat Relay) crea el archivo SCRIPT.INI si el software mIRC se encuentra instalado en cualquiera de las siguientes carpetas:
Finalmente, el archivo C:\Windows\Mkz\1.vbs muestra en pantalla esta caja de diálogo:
Sus payloads son los siguientes:
PER ANTIVIRUS® versión 7.9 con registro de virus al 27 de Febrero del 2003 detecta y elimina eficientemente este gusano.
