Krim.F

KRIM.F, gusano destructivo, infecta vía Correo y Chat borra archivos y formatea unidad C: del disco.

VBS/Krim.F@mm, VBS/Bloodhound@mm,.I-Worm.Zokrim@mm, VBS/Vale@mm

Krim.F es un gusano destructivo, variante del Krim, reportado el 08 de Marzo del 2003, de alta propagación masiva a través de mensajes de correo con uno de dos formatos y un mismo archivo anexado de nombre amore.bat que una vez activado, borra archivos de diversas extensiones de la carpeta Mis documentos y formatea la unidad C: del disco.

La muestra obtenida fue enviada de Italia (+1 GMT)

Es un Visual Basic Script de 6.4 KB de extensión e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/XP

Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface) se auto-envía a todos los buzones de correo de la Libreta de Direcciones de MS Outlook.

Los dos formatos de mensaje son los siguientes:

Formato 1
Asunto: Mi ami ancora ???
Contenido: Mi perdoni per quello che ti ho fatto ?? Valentina
Anexado: amore.bat

Formato 2
Asunto: Sto male senza di TE
Contenido: Ti prego dammi una risposta t.v.b. la tua Valentina
Anexado: amore.bat

Al ejecutarse crea la carpeta %Windir%\Vale y luego los siguientes archivos en el directorio raíz y en el directorio %Windir%:

C:\Amore.bat
C:\Mhr.vbs (con atributo de "oculto")
%Windir%\Vale\Amore.vbs
%Windir%\Vale\2.vbs
%Windir%\Vale\Zkm.reg (con atributo de "oculto")

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP y C:\Winnt en Windows NT\2000.

Al ser ejecutado Mhr.vbs muestra esta caja de diálogo:

Para ejecutarse la próxima vez que se inicie el sistema el gusano crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
WinBatload = "c:\amore.bat"

Al ser activado el gusano, renombra el archivo Format.com a Chdisk.com:

%Windir%\Command\Format.com
%Windir%\Command\Chdisk.com

Este procedimiento únicamente funciona en Windows 95/98/Me, debido a que el archivo Format.com no se ubica dentro de la carpeta \Command en Windows NT/2000/XP, sino en \System32 y \ServicePackFiles\i386

Luego modifica el AUTOEXEC.BAT para ejecutar el archivo renombrado Chdisk.com e intenta borrar todos los archivos con extensiones .exe, .doc, .xls y .txt en la carpeta Mis documentos, así como sus sub-carpetas.

En el caso que el archivo anexado sea borrado o renombrado procede a formatear la unidad C: del disco.

Para difundirse por el IRC (Internet Chat Relay) el gusano sobre-escribe el SCRIPT.INI del software mIRC con su código viral en la carpetas:

C:\mIRC
C:\mIRC32
C:\Archivos de programa\mIRC
C:\Archivos de programa\mIRC32

A través del SCRIPT.INI infectará a todos los usuarios que se conecten a una misma sesión de Chat.

Sus payloads son los siguientes:

Se propaga masivamente en mensajes de correo, haciendo uso de la Libreta de Direcciones de MS Outlook.
Modifica el SCRIPT.INI del software mIRC y contagia a los usuarios de una misma sesión de Chat, con un efecto multiplicador.
Borra archivos de diversas extensiones en la carpeta Mis documentos y en sus sub-carpetas.
Formatea la unidad C: del disco duro.

PER ANTIVIRUS® versión 7.9 con registro de virus al 08 de Marzo del 2003 detecta y elimina eficientemente este gusano.

Nota: existe una diferencia de 6 horas entre Perú (-5 GMT) e Italia (+1 GMT)