Korron.B


Gusano que modifica algunos tipos de archivos copiándose a sí mismo.

Difusión: Baja Fecha de Alta:22-05-2009
Última Actualización:22-05-2009

Daño: Alto

Dispersibilidad: Medio

Nombre completo: [email protected]

Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [DE] - Se propaga a dispositivos extraíbles insertados o conectados en/al equipo afectado.
Alias:Korron.B (Symantec)

MÉTODO DE INFECCIÓN Y EFECTOS

Cuando se ejecuta crea los siguiente archivos:/p>

* %UserProfile%\Local Settings\Application Data\WINDOWS\CSRSS.EXE
* %UserProfile%\Local Settings\Application Data\WINDOWS\LSASS.EXE
* %UserProfile%\Local Settings\Application Data\WINDOWS\SERVICES.EXE
* %UserProfile%\Local Settings\Application Data\WINDOWS\SMSS.EXE
* %UserProfile%\Local Settings\Application Data\WINDOWS\WINLOGON.EXE
* %System%\Coollman.scr
* %System%\Driver\Printer\LX300\Ac.ico
* %System%\Driver\Printer\LX300\akses.ico
* %System%\Driver\Printer\LX300\com.ico
* %System%\Driver\Printer\LX300\CPL.ico
* %System%\Driver\Printer\LX300\doc.ico
* %System%\Driver\Printer\LX300\film.ico
* %System%\Driver\Printer\LX300\Folder.ico
* %System%\Driver\Printer\LX300\IE.ico
* %System%\Driver\Printer\LX300\jpg.ico
* %System%\Driver\Printer\LX300\panel.ico
* %System%\Driver\Printer\LX300\pdf.ico
* %System%\Driver\Printer\LX300\pps.ico
* %System%\Driver\Printer\LX300\ppt.ico
* %System%\Driver\Printer\LX300\setup.ico
* %System%\Driver\Printer\LX300\setup2.ico
* %System%\Driver\Printer\LX300\txt.ico
* %System%\Driver\Printer\LX300\winamp.ico
* %System%\Driver\Printer\LX300\winrar.ico
* %System%\Driver\Printer\LX300\winzip.ico
* %System%\Driver\Printer\LX300\xls.ico
* %System%\shell.exe
* %System%\userinit.exe
* %SystemDrive%\49U5T1N4.exe
* %SystemDrive%\Renungan Illahi.txt
* %SystemDrive%\Renungan Illahi.txt.exe
* %SystemDrive%\Documents and Settings\All Users\Start Menu\Programs\Startup\Microsoft Office.pif
* %SystemDrive%\Documents and Settings\All Users\Start Menu\Programs\Startup\Hayalan.exe
* %SystemDrive%\Perenungan Illahi.txt

Nota: %System% es una variable que hace referencia al directorio del sistema de Windows.
Por defecto es C:\Windows\System (Windows 98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).

Nota: %SystemDrive% es una variable que hace referencia a la unidad en la que Windows está instalado.
Por defecto es C:.

Crea las siguientes entradas de registro, para que el virus se ejecute en cada inicio de Windows:

Código:
Clave:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
Valor: "LogonAdministrator"="C:\Documents and Settings\Administrator\Local Settings\Application Data\WINDOWS\CSRSS.EXE"

Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

Valor: "System Monitoring"="C:\Documents and Settings\Administrator\Local Settings\Application Data\WINDOWS\LSASS.EXE"

Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\

Valor: "49U5T1N4" = "C:\WINDOWS\49U5T1N4.exe"

Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\

Valor: "MSMSGS" = "C:\Documents and Settings\Administrator\Local Settings\Application Data\WINDOWS\WINLOGON.EXE"

Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\

Valor: "ServiceAdministrator" = "C:\Documents and Settings\Administrator\Local Settings\Application Data\WINDOWS\SERVICES.EXE"

Crea las siguientes entradas de registro:

Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inifile\shell\open\command\

Valor: """ = ""C:\WINDOWS\system32\shell.exe" "%1" %*"

Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SystemFileProtection\

Valor: "ShowPopups" = "0"

Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer\

Valor: "LimitSystemRestoreCheckpointing" = "1"

Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer\

Valor: "DisableMSI" = "1"

Crea las siguientes entradas de registro para deshabilitar la línea de comandos, el editor de registro y el gestor de tareas de Windows.

Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\

Valor: "DisableCMD" = "1"

Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\

Valor: "DisableTaskMgr" = "1"

Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\

Valor: "DisableRegistryTools" = "1"

Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\

Valor: "DisableTaskMgr" = "1"

Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\

Valor: "DisableRegistryTools" = "1"

Crea las siguientes entradas de registro para deshabilitar la restauración del sistema:

Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

Valor: "DisableConfig" = "1"

Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\

Valor: "DisableSR" = "1"

Crea las siguientes entradas de registro para deshabilitar ciertas características en Microsoft Explorer:

Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

Valor: "NoRun" = "1"

Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

Valor: "NoLogoff" = "1"

Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

Valor: "NoFind" = "1"

Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

Valor: "NoTrayContextMenu" = "1"

Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

Valor: "NoViewContextMenu" = "1"

Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

Valor: "NoFolderOptions" = "1"

Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

Valor: "NoClose" = "1"

Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

Valor: "NoDesktop" = "1"

Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\

Valor: "ShowSuperHidden" = "0"

Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\

Valor: "NoFolderOptions" = "1"

El gusano modifica las siguientes entradas del registro que ejecuta cuando Windows se inicia:

Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\

Valor: "Shell" = "Explorer.exe "C:\WINDOWS\system32\IExplorer.exe""

Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\

Valor: "Userinit" = "C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\IExplorer.exe"

También modifica las siguientes entradas de registro

Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command\

Valor: "" = ""C:\WINDOWS\system32\shell.exe" "%1" %*"

Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile\shell\open\command\

Valor: "" = ""C:\WINDOWS\system32\shell.exe" "%1" %*"

Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Excel.Sheet.8\

Valor: "" = "Application"

Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Excel.Sheet.8\DefaultIcon\

Valor: "" = "C:\WINDOWS\49U5T1N4.exe"

Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\

Valor: "" = "Microsoft Corporation"

Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\piffile\shell\open\command\

Valor: "" = ""C:\WINDOWS\system32\shell.exe" "%1" %*"

Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Word.Document.8\

Valor: "" = "Application"

Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Word.Document.8\DefaultIcon\

Valor: "" = "C:\WINDOWS\49U5T1N4.exe"

Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug\

Valor: "Auto" = "1"

Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug\

Valor: "Debugger" = ""C:\WINDOWS\system32\Shell.exe""

Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\

Valor: "AlternateShell" = "C:\WINDOWS\49U5T1N4.exe"

Clave: HKEY_CURRENT_USER\Control Panel\Desktop\

Valor: "SCRNSAVE.EXE" = "C:\WINDOWS\system32\COOLLM~1.SCR"

Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\

Valor: "Hidden" = "1"

Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\

Valor: "HideFileExt" = "0"

Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

Valor: "NoDriveTypeAutoRun" = "0x000000B5"
El gusano escanea todas las unidades del sistema buscando archivos con las siguientes extensiones.

* .3gp
* .bmp
* .db
* .dbf
* .doc
* .docx
* .gif
* .htm
* .html
* .jpg
* .mdb
* .mdbx
* .mov
* .mp3
* .pdf
* .pps
* .ppt
* .pptx
* .rar
* .rm
* .rtf
* .sql
* .txt
* .wav
* .xls
* .xlsx
* .zip

Copia todos los archivos encontrados en la siguiente carpeta y con el formato siguiente:

* %Windir%\Approot\49U5T1N4[35 espacios en blanco][12 caracteres aleatorios].inf

Nota: %Windir% es una variable que hace referencia al directorio de instalación de Windows.
Por defecto es C:\Windows (Windows 98/Me/XP) o C:\Winnt (Windows NT/2000).

Remplaza los archivos encontrados con copias de sí mismo y guardados con el icono original.

Hace una copia de los siguiente archivos, a todos los discos extraíbles

* %DriveLetter%\49U5T1N4\Folder.htt
* %DriveLetter%\49U5T1N4\Folderku.exe
* %DriveLetter%\Data Penting.exe
* %DriveLetter%\Setup DirectX 9.0.exe
* %DriveLetter%\Avast Premium Full.exe
* %DriveLetter%\Desktop.ini

Nota: %DriveLetter% es una variable que hace referencia a la unidad física o extraíble en la que se crea el fichero (H:/ , S:/, etc).

Crea el siguiente archivo en todas la unidades extraíbles locales, y se ejecuta cada vez que se conecta:

* %DriveLetter%\Autorun.inf

Finaliza los siguientes procesos

* ashmaisv.exe
* aswupdsv.exe
* avgemc.exe
* ccapps.exe
* cclaw.exe
* cyrax.exe
* dkernel.exe
* iexplorer.exe
* killvb.exe
* mcvsescn.exe
* msconfig.exe
* nipsvc.exe
* njeeves.exe
* nvcoas.exe
* pcmav.exe
* poproxy.exe
* procexp.exe
* regcleanr.exe
* regedit.exe
* riyani_jangkaru.exe
* rstrui.exe
* syslove.exe
* systray.exe
* taskmgr.exe
* thunderbird.exe
* tskmgr.exe
* xpshare.exe

También finaliza algunos procesos que contengan alguna palabra relacionada con la seguridad.

Abre una página de Notepad donde muestra un mensaje en lenguaje Indonesio.

Se propaga mediante la copia de si mismo a todas las unidades de almacenamiento presentes en el equipo (autorun)

Notas personal:

Como en cualquier caso de infeccion por troyano o gusano se recomienda encarecidamente que se modifiquen contraseñas de sitios en los que se este registrado o suscrito para evitar robo de cuentas e identidad.

Fuente: Alerta-Antivirus.es: Detalles del virus Korron.B

Suerte y tengan cuidado