NOKRUPT gusano VBS de Internet infecta raíz de unidades de disco removibles y USB deshabilita funciones, etc.  

© Jorge Machado  Lima-Perú

VBS/Nokrupt

Nokrupt es un gusano Visual Basic Script reportado el 01 de Junio del 2007 que se propaga a través de servicios de Internet e infecta la raíz de las unidades de disco removibles incluyendo los dispositivos de almacenamiento de memoria USB

Deshabilita el Administrador de Tareas de Windows, el Internet Connection Wizard y desestabiliza la seguridad del sistema

Crea una llave de registro que al activarse cambia el título de la ventana superior del Internet Explorer.  

Infecta Windows 95/98/NT/Me/2000/XP y Server 2003, y es un VBS con apenas 6,918 bytes de extensión.

Al activarse se copia al directorio %Windir% como TTMS[Mes][Día].dll.vbs y para ejecutarse la próxima vez que se re-inicie el sistema crea las llaves:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"MSConfig" = [Ruta_al_VBS]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"MSConfig" = [Ruta_al_VBS]

TTMS = Trojan Transportable Mini-Switch

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

Para deshabilitar el Administrador de Tareas crea la sub-llave:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools" = "1"

Para desestabilizar la seguridad del sistema crea las sub-llaves:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyEnable" = "1"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyServer" = "0.0.0.0:80"

para deshabilitar el Internet Connection Wizard crea la sub-llave:

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel\Connection Settings]
"Connwiz Admin Lock" = "1"

Para cambiar el título de la ventana del Internet Explorer crea la llave:

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Window Title"="TTMS NAA NA DIRI, DON'T WORRY I'M NOT A CORRUPT LIKE YOU!"

Al siguiente inicio del equipo el gusano revisa todas la unidades de disco removibles y los dispositivos de almacenamiento de memoria USB y se copia al directorio raíz de cada una de ellas. 

Finalmente en la ventana del Internet Explorer muestra el siguiente título:

TTMS NAA NA DIRI, DON'T WORRY I'M NOT A CORRUPT LIKE YOU!

PER ANTIVIRUS® versión 10.1 con registro de virus al 01 de Junio del 2007 detecta y elimina eficientemente este gusano.

Ir al menú anterior

Regresar al Portal de PER SYSTEMS