Knon

KNON, gusano de propagación masiva, vía Correo y Chat borra archivo y colapsa el sistema operativo.

W32/Knon@mm, I-worm.knon@mm

Knon es un gusano destructivo reportado el 15 de Marzo del 2003, de propagación masiva, en mensajes de correo con un archivo anexado de nombre ICQ-Upgrade.exe, que simula contener una actualización del software de mensajería instantánea ICQ y con el nombre del destinatario personalizado. Infecta además vía el IRC (Internet Chat Relay).

Borra archivos de extensiones, incluyendo .EXE y .COM por lo cual deja inoperativos a los sistemas que infecta.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000

Está desarrollado en Visual Basic 6.0, con una extensión de 12.5 KB y está comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface) se auto-envía a todos los buzones de correo de la Libreta de Direcciones de MS Outlook.

Al ejecutar el archivo anexado, el gusano busca los siguientes archivos y si ellos se encuentran instalados en el sistema, procede a sobre-escribirlos con su código:

A:\ICQ-Bkgrounds.scr
C:\Autorun.com
C:\ICQ-3D.scr
C:\ICQ-Upgrade.exe
C:\Techsounds.scr
C:\Documents and Settings\All Users\Start Menu\Programs\Icq\Icq.exe
C:\Program Files\ICQ\Icq.exe
C:\Windows\Notepad.exe
C:\Windows\Opme.co_
C:\Windows\Regedit.exe
C:\Windows\Start Menu\Programs\Icq\Icq.exe
C:\Windows\%System%\Msinet32.exe
C:\Windows\%System%\Cmd.exe

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Para ejecutarse la próxima vez que se inicie el sistema el gusano crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
*inet = "%System%\Msinet32.exe"

Luego cambia los siguientes valores en la llave de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion]
RegisteredOwner = unknown
RegisteredOrganization = unknown
ProductName = UNKNOWN-<<<moWorm>>>

Al activarse el gusano se auto-copia a las siguientes rutas con los nombres:

C:\Dnserror1.html
C:\Unknown.html
C:\Readme.doc
%Desktop%\Mailme.url

Para infectar a través del IRC (Internet Chat Relay) el gusano busca la presencia del software mIRC en el sistema y si lo encuentra modifica el Script.ini en la ruta C:\mIRC\Script.ini, que le permitirá infectar a todos los usuarios que se conecten a una misma sesión de Chat.

Luego el gusano inicia un proceso infinito (loop) de auto-copia en los archivos de las siguientes rutas:

C:\Windows\System_Sav\Monitor-BkUp[número_aleatorio].cpl
C:\Windows\System_Sav\Program-Manager[número_aleatorio].exe
C:\Windows\%System%\Systnt32\SYSTEM-SAV_NT[número_aleatorio].cpl
C:\Windows\%System%\Systxp32\WINDOWS-Update[número_aleatorio].exe

Este proceso deshabilita los sistemas que tiene poca memoria RAM.

Inmediatamente después procede a borra los archivos con estas extensiones:

.rar
.zip
.jpg
.wav
.mp3
.bmp
.doc
.rtf

Para finalmente sobre-escribir con su código viral los archivos con las siguientes extensiones:

.com
.exe
.scr

Con lo cual dejará inoperativo al sistema.

Sus payloads son los siguientes:

Se propaga masivamente en mensajes de correo, haciendo uso de la Libreta de Direcciones de MS Outlook.
Modifica el SCRIPT.INI del software mIRC y contagia a los usuarios de una misma sesión de Chat, con un efecto multiplicador.
Borra archivos de diversa extensiones incluyendo .EXE y .COM
Colapsa y deja inoperativo al sistema.

PER ANTIVIRUS® versión 7.9 y 8.0 con registro de virus al 15 de Marzo del 2003 detecta y elimina eficientemente este gusano.