Krim

Krim, gusano de alta propagación que formatea rápidamente la unidad C del disco duro

Vbs.Krim@mm, Vbs.Mirko@mm

Krim es un gusano reportado el 26 de Marzo del 2002, de gran difusión masiva en Internet, por su capacidad de saturación de servidores Web, de Correo, LAN, estaciones de trabajo, PC individuales y domésticas, a causa de su efecto multiplicador a través del correo electrónico.

Está desarrollado en Visual Basic Script y el archivo infectado tiene apenas una extensión de poco más de 2K.

Krim infecta todos los sistemas operativos Microsoft Windows 95/98/NT/2000/Me, incluyendo los servidores NT/2000, excepto a Windows XP.

Se propaga a través de mensajes de correo electrónico, con un archivo anexado de nombre MIRKO.bat el mismo que contiene un .Vbs. Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface), una vez que un sistema es infectado, el gusano se auto-envía a todos los buzones de la libreta de direcciones de MS Outlook y Outlook Express, en un mensaje de correo:

Si el archivo anexado es ejecutado, el gusano creará la carpeta C:\Windows\Mk e inmediatamente genera los siguientes archivos:

C:\Windows\Mirko.vbs
C:\Windows\Mirko.reg
C:\Windows\Mk\Mirko.vbs
C:\Windows\Desktop\Mirko.txt

El gusano se auto-copia a la carpeta C:\Windows\Mk\Mirko.bat y a continuación insertará una línea al final del archivo C:\Autoexec.bat:

@call C:\windows\system\mirko.bat

Krim también agregará el valor:

mirko c:\windows\mk\mirko.bat

a la llave de registro de Windows:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

En el sistema infectado, el gusano buscará el archivo C:\Windows\Desktop\Mirko.txt y si no puede hallarlo, entonces ejecutará su destructivo payload, que consiste en formatear rápidamente el disco duro C.

Haciendo uso del archivo C:\Windows\Mirko.vbs se auto-enviará a todas los buzones de correo de la Libreta de Direcciones de MS Outlook.

Finalmente, empleará el archivo C:\Windows\Mk\Mirko.vbs para mostrar en la pantalla este gráfico:

PER ANTIVIRUS® versión 7.4 con registro de virus al 26 de Marzo del 2002 detecta y elimina eficientemente este gusano.