KORRON gusano infecta discos removibles deshabilita funciones del sistema deja inoperativo a Windows.  

© Jorge Machado  Lima-Perú

W32/Korron

Korron es un gusano residente en memoria, creado en Turkia, reportado el 25 de Enero del 2008 que se propaga a través de diversos servicios de Internet.

Infecta las unidades de disco removibles. Deshabilita funciones y servicios vitales del sistema y será necesario reinstalar Windows. 

Infecta Windows 95/98/Me/NT/2000/XP/Vista y Server 2003, desarrollado en Assembler, con una extensión de 64KB y no está encriptado.

Al ingresar a un sistema se copia a las siguientes rutas y con los nombres de archivo:

%UserProfile% es la variable que registra la información específica de cada usuario y que define los límites de su entorno de trabajo. Es igual a C:\Documents and Settings\[nombre_de _usuario] en Windows 2000/NT/XP

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

%SystemDrive% representa a la unidad donde Windows se encuentra instalado, que por defecto es la unidad C:\

Se copia a los discos y medios de almacenamiento removibles, incluyendo dispositivos USB:

y para ejecutarse la próxima vez que se active el sistema crea las llaves de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"LoggonAdministrator" = "%SystemDrive%\Documents and Settings\Administrator\Local Settings\Application Data\Windows\Winlogon.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Sysmontrng" = "C:\Documents and Settings\Administrator\Local Settings\Application Data\Windows\servicie.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"r0nk0r" = "C:\Windows\r0nk0r.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS" = "C:\Documents and Settings\Administrator\Local Settings\Application Data\Windows\Winlogon.exe"
[KEY_LOCAL_MACHINE\Software\Classes\lnkfile\shell\open\command]
"default" = ""%System%\shell.exe" "%1" %*"
[HKEY_LOCAL_MACHINE\Software\Classes\docfile\shell\open\command]
"default" = ""%System%\shell.exe" "%1" %*"
[HKEY_LOCAL_MACHINE\Software\Classes\xlsfile\shell\open\command]
"default" = ""%System%\shell.exe" "%1" %*"

Aleatoriamente modifica las llaves:

Para desestablizar la seguridad, funciones y servicios del sistema crea las sub-llaves:

Al siguiente re-inicio del sistema el gusano termina los procesos que contengan una de las siguientes cadenas:

Finalmente el gusano abre el siguiente archivo de texto:

%UserProfile%\Local Settings\Application Data\Windows\Puisiku.txt

el mismo que contiene la cadena de texto:

Maaf
================================================
Maaf
Apa yang kulakukan tak dapat kumaafkan
Benar

Las llaves y sub-llaves generadas desahabilitan funciones y servicios dejando al sistema inoperativo. Será necesario re-instalar Windows.

PER ANTIVIRUS® versiones 10.3 y X4 con registro de virus al 25 de Enero del 2008 detectan y eliminan este gusano. 

Ir al menú anterior

Regresar al Portal de PER SYSTEMS