W32/Oror.K@MM, I-worm.Oror.K

Oror.K es un gusano muy destructivo, de compleja programación, reportado el 05 de Diciembre del 2002 de alta propagación masiva a través de un mensaje de correo con diversos asuntos y un archivo anexado de diversos nombres aleatorios. Infecta con tan solo visualizar el mensaje al vulnerar el MIME exploit que ejecuta el archivo bajo la opción de vista previa. Infecta además vía Chat y la popular red Kazaa.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/XP

Oror.K ha sido desarrollado en lenguaje Visual C++, tiene 128 KB de extensión y sus mensajes tienen las siguientes características: 

Asunto, uno de los siguientes:
..
!!
:)
;))
:pPpP
~pPp
:>
!
;)
HeY
ZzZz
Bla Bla
HoWie
Happy
Hi Again
Wow
Hi
Hello
Hey Ya
Boom
Hi There Zdrasti
Zdr Otnovo
Ohoo
Ei dupe
Pisamce
TinKi WinKy
ZzZz
Bla Bla
Hey
Privet

Archivo anexado, uno de los siguientes:

IGUANA1.0_SKIN.EXE 
[TNT]GEN.EXE
YAHOO!AUTUMN.EXE 
BLONDES.EXE
IE_0274_BG.EXE
YAHOO!TOMCATS.EXE
YAHOO!CHESS.EXE
BLONDIES.EXE 

Ejemplo de mensaje:

Al ejecutar el archivo infectado muestra la siguiente caja de diálogo:

 
"Error al iniciar el programa", "El archivo requiere una nueva versión de Windows. Actualice su versión de Windows.". 

Haciendo click en "Aceptar" el gusano se auto-copia a la carpeta %windir% con un nombre de archivo que es una combinación de "lib", el nombre del equipo, al revez y uno de los valores 16.exe, 32.exe o 98.exe. 

Para ejecutarse la próxima vez que se inicie el sistema el gusano crea la siguiente llave de registro:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
LoadSystemProfile= <pathname of worm> powprof.dll,LoadCurrentUserProfile 

Asimismo el gusano configura la siguiente entrada en el registro, para ejecutarse automáticamente cada ves que se ejecute un archivo .EXE : 

[HKLM\Software\CLASSES\exefile\shell\open\command]
default = <pathname of worm> "%1" %*. 

Luego elige al azar una sub-carpeta de Archivos de programa y se autocopia a la misma usando el nombre de esta sub-carpeta con uno de los valore 16.exe, 32.exe o 2k.exe. 

Para infectar a través de la red Kazaa se auto-copia a la carpeta correspondiente a archivos compartidos, con los siguientes nombres:

• ACDSee
• Actu002_
• alice
• amanda
• Anal Explorer
• baby_17
• badboy
• blue16
• BoxDave_
• Britney Suxx
• BritneyUltimate
• bryan16
• candy_f
• Chess
• ClubExtreme
• Counter Strike 1.5 (Editor)_
• CrazyGirl
• cRedit_CarDs_gEn|MeGa HACK
• DivX 5.4 Bundle_
• DMX tHeMe
• Download Accelerator 5.5_
• Dreamweaver_5.0_Patch_
• dreamy
• Elfbowl
• EminemDesktop
• Fishfood
• Gipsy
• Goggles
• GTA 3 Bonus Cars(part1)_
• happy
• Hot Blondies
• install_en_
• Inter012_
• jane17
• jerry
• Kama Sutra
• KamaSutra
• KaZaA Media Desktop v2.0.8_ 
• LaFemmeNikita
• linda17
• Lolita
• Madonna Desktop
• neo
• Nero Burning Rom 5.6.0.3_
• NFS 5 Bonus Cars_
• nicole
• Pam Anderson Theme
• Pamela 3D_
• PcDudes
• rap_girl
• Serials 2K 7.2 (by SNTeam)_
• Serials2002_8.0(17.08.02)_
• SexSpy
• Sexy Teens Desktop
• snowball_fight_
• sound_brake_
• steve
• Story017_
• Strip Kournikova
• Teen Sex Cam
• trish1
• tweety
• VirtualRape
• WinAmp_3.2_Cool_
• WinZip 8.2_
• WWF_The_ROCK
• Zip Password Recovery 

Al ser ejecutado el archivo infectado, se autocopia con un nombre aleatorio al directorio %windir%, Asimismo el gusano elige en forma aleatoria cualquiera de las carpetas en C:\Archivos de programa y se autocopia a la misma con cualquiera de sus nombres, seguido de uno de estos valores:

• 2
• 16
• 32

Si hipotéticamente, la carpeta se llama Creative, el nombre del archivo será Creative32.EXE y creará otro archivo en el directorio del sistema de Windows, con un nombre diferente pero que coincidirá con uno de los archivos de Windows\system, agregándole las cifras 2, 16 o 32 al final del archivo.

Para ejecutarse la próxima vez que se inicie el sistema agrega las siguientes entradas al archivo WIN.INI:

[windows]
run=c:\%windir%\system\nombre_aleatorio_de_archivo32.exe 

Crea además las llaves de registro: 

[HKLM\ Software\Microsoft\Windows\CurrentVersion\Run]
default = C:\Archivos de programa\Creative\nombre_aleatorio_de_archivo32.exe 

Modifica la siguiente llave de registro:

[ HKCR\ exefile\ shell\ open\command]
default = C:\%windir%\nombre_aleatorio_de_archivo32.exe

%windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP y C:\Winnt en Windows NT\2000.

Al ser ejecutado, la siguiente vez que se inicie el sistema muestra esta caja de diálogo:

 

El gusano anulará los procesos de antivirus y firewalls que tengan las siguientes sub-cadenas:

• mcafee
• kaspers
• avp
• norton
• cillin
• virus
• panda 
• zone
• labs
• black
• ice 

Del mismo modo buscará en la ruta C:\Windows\Menú Inicio\Programas\ las siguientes palabras: black, panda, shield, guard, scan, mcafee, nai_vs_stat, iomon, navap, avp, alarm, f-prot, secure, labs y antivir, con el propósito de eliminar sus accesos directos.

El gusano posee su propio SMTP (Simple Mail Transfer Protocol) que incluye al protocolo POP (Post Office Protocol) y se auto-envía a todos los contactos de la Libreta de Direcciones de Windows (WAB) y los archivos que contienen las direcciones de correo de MS-Outlook y Outlook Express.

El parche para esta vulnerabilidad MIME exploit debe ser descargado de:

Loa payloads de Oror.K son:

• Infecta masivamente vía correo, Chat y la red Kazaa.
• Borra todos los archivos de las unidades de los discos y de red.
• Anula los procesos de varios software antivirus, firewalls.
• Elimina los accesos directos a otros diversos programas, incluyendo los antivirus y firewalls.
• Deja inutilizable el sistema, debiéndose re-instalar el sistema operativo y los programas afectados. 

PER ANTIVIRUS® versión 7.8 con registro de virus al 05 de Diciembre del 2002 detecta y elimina eficientemente este gusano.