IPNUKER, gusano VBS de Correo IRC y Redes con recursos compartidos, borra archivos cambia AUTOEXEC.BAT

© Jorge Machado  Lima-Perú

VBS/Ipnuker@mm, I-worm.Ipnuker@mm

Ipnuker es un destructivo gusano reportado el 22 de Junio del 2005, de propagación masiva a través de mensajes de correo que contiene un archivo anexado de nombre ipnuker.vbs. Infecta además vía el IRC (Internet Chat Relay) y en redes con recursos compartidos. 

Es un Visual Basic Script e infecta Windows 95/98/NT/Me/2000/XP/Server 2003, incluyendo los servidores NT/2000/Server 2003 con apenas 5.9 KB de extensión.

Borra los archivos con extensiones .BAT, .TXT y .VBS de dos carpetas en todas las unidades de disco. Cambia el AUTOEXEC.BAT sobre-escribiéndolo con un texto alusivo al autor.

Haciendo uso de las librerías MAPI (Messaging Application Programming Interface) se envía a todos los buzones de correo de la Libreta de Direcciones de MS Outlook, si la fecha es anterior al 15 de cada mes, con la siguiente característica:

Asunto: Important Windows Security
Contenido:
Open the attachment to begin the windows update.
This update is very important to ensure your safety.
Microsoft

Anexado: ipnuker.vbs

Si la fecha es día 15 o posterior el mensaje será:

Asunto: Yo Wats Up There
Contenido:
Open the attached file to get
to the pictures you wanted.

Anexado: ipnuker.vbs

Al ejecutar el archivo el gusano se copia a las siguientes rutas y con los nombres:

y para activarse la próxima vez que se inicie el sistema crea la siguiente llave de registro:

[HKEY_CLASSES_ROOT\Shell\shell\explore\command]
"default" = "%Windir%\Ipnuker.vbs" 

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

Así mismo crea las siguientes llaves de registro:

[HKEY_CLASSES_ROOT\VBSFile\Shell\Command]
Default = "%Root%\%System%\WScript.exe"

[HKEY_CLASSES_ROOT\VBSFile\Edit\Command]
"Default" = "%Root%\%System%\WScript.exe"

[HKEY_CLASSES_ROOT\txtfile\shell\open\command]
"Default" = "%Root%\%System%\WScript.exe"

[HKEY_CLASSES_ROOT\txtfile\shell\print\command]
"Default" = "%Root%\%System%\WScript.exe"

[HKEY_CLASSES_ROOT\txtfile\shell\printto\command]
"Default" = "%Root%\%System%\WScript.exe"

[HKEY_CLASSES_ROOT\Unknown\shell\openas\command]
"Default" = "%Root%\%System%\WScript.exe"

[HKEY_CLASSES_ROOT\themefile\shell\open\command]
"Default" = "%Root%\%System%\WScript.exe"

[HKEY_CLASSES_ROOT\Shell\shell\explore\command]
"Default" = "C:\Windows\Ipnuker.vbs"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version]
"RegisteredOwner" = "Ipnuker.Net"

%Root% es por lo general C:\

Para cambiar los iconos de los archivos con las extensiones .INF, .INI, .JPEG, .MP3, .MPEG, .TXT, .VBS modifica las siguientes llaves:

[HKEY_CLASSES_ROOT\VBSFile\DefaultIcon]
"default" = "shell32.dll,-298"

[HKEY_CLASSES_ROOT\txtfile\DefaultIcon]
"default" = "shell32.dll,-16"

[HKEY_CLASSES_ROOT\mpegfile\DefaultIcon]
"default" = "shell32.dll,-52"

[HKEY_CLASSES_ROOT\mp3file\DefaultIcon]
"default" = "shell32.dll,-512"

[HKEY_CLASSES_ROOT\jpegfile\DefaultIcon]
"default" = "shell32.dll,-52"

[HKEY_CLASSES_ROOT\inifile\DefaultIcon]
"default" = "shell32.dll,-16"

[HKEY_CLASSES_ROOT\inffile\DefaultIcon]
"default" = "shell32.dll,-5"

[HKEY_CLASSES_ROOT\txtfile\DefaultIcon]
"default" = "shell32.dll,-16"

Para propagarse vía el IRC (Internet Chat Relay) el gusano crea el archivo Ipnuker.mrc en la carpeta asignada por defecto en la instalación del software mIRC, en caso existiese. Luego inserta una cadena de su código al archivo Mirc.ini, lo cual permitirá propagar el archivo infectado a todos los usuarios conectados en una misma sesión de Chat.

Este gusano ejecutará su rutina de propagación únicamente los meses de Enero, Junio y Diciembre.

El gusano crea además el archivo IPUSERCREATE.BAT en el directorio de Windows, que tiene como propósito agregar números generados aleatoriamente que actúan como usuarios de una red de recursos compartidos usando el comando NET USER {randomly generated number} /add.

luego salva esos números generados en una archivo de texto en el directorio raíz.

Sobre-escribe archivos con extensiones VBS, TXT y BAT en las carpetas Documents and Settings\All Users y Mis documentos de todas las unidades de disco donde éstas existieran.

también cambia las funciones de los botones del mouse y borra el software Norton Antivirus de la carpeta \Archivos de programa, en caso de estar instalado.

Finalmente sobre-escribe el AUTOEXEC.BAT y lo reemplaza con la siguiente cadena de texto, alusiva al autor del virus, que es mostrada en cada re-inicio del sistema:

This Computer Was Made By Ipnuker Copyrighted By Ipnuker For Forever

PER ANTIVIRUS® versión 9.3 con registro de virus al 22 de Junio del 2005 detecta y elimina eficientemente este gusano. 

Ir al menú anterior

Regresar al Portal de PER SYSTEMS