Corerink

CORERINK gusano redes recursos compartidos borra ejecutables termina procesos envía información a portales chinos.

W32/Corerink

Corerink es un destructivo gusano reportado el 16 de Abril del 2007, que se propaga a través de redes con recursos compartidos configuradas con contraseñas débiles. Infecta archivos ejecutables, borra archivos y termina determinados procesos relacionados a la seguridad del sistema.

Inserta su código viral en el Internet Explorer, notifica y envía información a dos direcciones ubicadas en Shangai, China.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP y Server 2003, está desarrollado en Visual C++.

Al activarse se copia a las siguientes rutas con los nombres:

%Windir%\linkinfo.dll
%System%\drivers\RioDrvs.sys
%System%\drivers\DKIS6.sys

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP.

Crea la siguiente llave la cual la registra como un servicio:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RioDrvs]

el cual tiene las siguientes características:

Nombre mostrado: RioDrvs Usb Driver
Ruta de imagen: %System%\drivers\RioDrvs.sys

borra los siguientes archivos:

%System%\dllcache\linkinfo.dll
%System%\system32\linkinfo.dll

Para evitar que el gusano se ejecute más de una vez crea el Mutex __DL_CORE_MUTEX__

La siguiente vez que se inicie el sistema el gusano termina los siguientes procesos:

realschd.exe
cmdbcs.exe
wsvbs.exe
msdccrt.exe
run1132.exe
sysload3.exe
tempicon.exe
sysbmw.exe
rpcs.exe
msvce32.exe
rundl132.exe
svhost32.exe
smss.exe
lsass.exe
internat.exe
explorer.exe
ctmontv.exe
iexplore.exe
ncscv32.exe
spo0lsv.exe
wdfmgr32.exe
upxdnd.exe
ssopure.exe
iexpl0re.exe
c0nime.exe
svch0st.exe
nvscv32.exe
spoclsv.exe
fuckjacks.exe
logo_1.exe
logo1_.exe
lying.exe
sxs.exe

evitando terminar los procesos o borrar archivos existentes en las siguientes carpetas:

windows
winnt
com
system
program files

el gusano inserta su código viral en el proceso del Inter Explorer.

infecta además los archivos ejecutables de todas las unidades de disco, excepto los que tengan los siguientes nombres:

wooolcfg.exe
woool.exe
ztconfig.exe
patchupdate.exe
trojankiller.exe
xy2player.exe
flyff.exe
xy2.exe
au_unins_web.exe
cabal.exe
cabalmain9x.exe
cabalmain.exe
meteor.exe
patcher.exe
mjonline.exe
config.exe
zuonline.exe
userpic.exe
main.exe
dk2.exe
autoupdate.exe
dbfsupdate.exe
asktao.exe
sealspeed.exe
xlqy2.exe
game.exe
wb-service.exe
nbt-dragonraja2006.exe
dragonraja.exe
mhclient-connect.exe
hs.exe
mts.exe
gc.exe
zfs.exe
neuz.exe
maplestory.exe
nsstarter.exe
nmcosrv.exe
ca.exe
nmservice.exe
kartrider.exe
audition.exe
zhengtu.exe

Intenta ingresar a las redes con recursos compartidos configuradas con contraseñas débiles, usando el nombre de usuario "Administrator" o una de las siguientes contraseñas:

zxcv
qazwsx
qaz
qwer
!@#$%^&*()
!@#$%^&*(
!@#$%^&*
!@#$%^&
!@#$%^
!@#$%
asdfgh
asdf
!@#$
654321
123456
12345
1234
123
111
1
admin

De lograr ingresar, el gusano se copia a sí mismo como C$\Ins.exe y ejecuta un servicio con las siguientes caracterísitcas:

Nombre del servicio: DLAN
Nombre mostrado: DLAN

Al haber afectado al Internet Explorer se conecta a la siguiente dirección URL para notificar al autor sobre los sistemas infectados:

http://tj.imrw0rldwide.com/co.asp?action=post&HD=[data]&OT=[data]&IV=[data]&AV=[data]

Finalmente se conecta a la siguiente dirección para enviar la información al atacante:

http://soft.imrw0rldwide.com/z.dat

Ambos URL se encuentran en Shangai, China.

PER ANTIVIRUS® versiones 10.0 y 10.1 con registro de virus al 16 de Abril del 2007 detecta y elimina eficientemente este gusano.