Categoría Procesos Sistema Operativo
Categoría Procesos Sistema Operativo

Qué es el proceso nkn.exe

Qué es el proceso nkn.exe

En el ecosistema de los sistemas Windows, nkn.exe no es un proceso legítimo de Microsoft. Este archivo ha sido identificado por BleepingComputer como un programa indeseable añadido por el gusano W32/Kelvir-BC, un malware diseñado para propagarse a través de MSN Messenger.

Su presencia en el Administrador de tareas debe considerarse una señal de alerta grave que requiere verificación y eliminación inmediata.

Función principal del proceso nkn.exe

La función principal de nkn.exe es maliciosa. Este archivo ha sido identificado como un componente del gusano W32/Kelvir-BC, que se propaga a través del servicio de mensajería MSN Messenger. Una vez ejecutado, el gusano puede enviar copias de sí mismo a los contactos de la víctima sin su conocimiento.

Seguidamente, investigaciones de Dr.Web (2022) han documentado que este archivo también ha sido utilizado por el troyano Trojan.Siggen18.2360. Esta variante moderna crea una tarea programada llamada «NKN» en el sistema y se conecta a servidores remotos para recibir instrucciones. De este modo, el equipo infectado queda comprometido y puede ser controlado por ciberdelincuentes.

Características del proceso nkn.exe

Las características técnicas de nkn.exe varían según la variante del malware. La ubicación del archivo puede ser en %System% (normalmente C:\Windows\System32\nkn.exe) o en %ALLUSERSPROFILE%\Temp\nkn.exe. El proceso se configura para iniciarse automáticamente cada vez que se enciende el equipo.

Cabe destacar que Dr.Web ha documentado las siguientes actividades maliciosas asociadas a nkn.exe:

  • Crea una tarea programada en <SYSTEM32>\tasks\nkn que se ejecuta cada 3 minutos
  • Modifica el registro en [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] con el nombre ‘NKN’
  • Descarga y ejecuta mineros de criptomonedas (xmr.exe, ton.exe) en segundo plano
  • Se conecta a servidores remotos en los puertos 80 y 5555
  • Oculta sus propios archivos asignándoles el atributo de «oculto»

El malware también busca ventanas del Administrador de tareas (Task Manager) para evadir su detección. Este proceso ha sido solicitado para análisis 2,969 veces en la base de datos de BleepingComputer.

Software/programas asociados a nkn.exe

nkn.exe no está asociado a ningún software legítimo de Microsoft. Es importante no confundirlo con nk.exe, que es un componente legítimo del núcleo del sistema operativo Windows Mobile/CE (sistemas embebidos), que no está presente en Windows de escritorio.

Por el contrario, este archivo es parte de múltiples amenazas:

  • W32/Kelvir-BC worm: gusano que se propaga por MSN Messenger
  • Trojan.Siggen18.2360: troyano que descarga mineros de criptomonedas
  • NKAbuse: malware multi-plataforma descubierto en 2023 que abusa de la tecnología blockchain NKN

Seguridad y riesgos potenciales nkn.exe

Los riesgos de seguridad asociados a nkn.exe son extremadamente graves y requieren una acción inmediata. BleepingComputer clasifica este archivo como un «programa indeseable que es engañoso, dañino o no deseado».

En este sentido, el impacto en el sistema puede incluir:

  • Minería de criptomonedas: el malware descarga y ejecuta xmr.exe (minero de Monero) que consume hasta el 100% de la CPU
  • Conexiones remotas: se conecta a servidores C2 (Command & Control) para recibir instrucciones
  • Persistencia agresiva: se reinstala cada 3 minutos mediante una tarea programada
  • Ocultación: oculta sus archivos y evita el Administrador de tareas

Además, el equipo puede ser utilizado para realizar ataques DDoS (denegación de servicio distribuido) contra terceros, tal como se ha documentado con el malware NKAbuse.

Cómo identificar si es legítimo nkn.exe

Para determinar si el archivo nkn.exe es malicioso, es necesario verificar varios aspectos técnicos. Cabe adelantar que, en el 100% de los casos en Windows de escritorio, este archivo es malicioso.

  • Ubicación incorrecta: El malware se aloja en %System% (normalmente C:\Windows\System32\nkn.exe) o en %ALLUSERSPROFILE%\Temp\nkn.exe. No existe una ubicación legítima para este archivo.
  • Tarea programada: El troyano crea una tarea programada llamada «NKN» que se ejecuta cada 3 minutos. Para verificarlo, abra el Programador de tareas (taskschd.msc).
  • Entrada en el registro: El malware añade una entrada ‘NKN’ en HKCU\Software\Microsoft\Windows\CurrentVersion\Run.
  • Firma digital esperada: Este archivo no cuenta con firma digital válida de Microsoft Corporation.
  • Herramientas de verificación: Para confirmar la naturaleza del archivo, se puede subir a VirusTotal o escanear el sistema con software antivirus. BleepingComputer recomienda específicamente descargar Malwarebytes y realizar un análisis gratuito para detectar y eliminar este tipo de malware.

Prevención

La mejor estrategia contra nkn.exe es la prevención combinada con una respuesta rápida ante la infección.

Prevención

Para evitar la infección por este malware:

  • Tener cuidado con los mensajes instantáneos: No hacer clic en enlaces sospechosos recibidos a través de aplicaciones de mensajería
  • Mantener Windows actualizado: Aplicar todos los parches de seguridad de Microsoft
  • Mantener el antivirus actualizado: Utilizar una solución de seguridad robusta
  • Evitar descargas de fuentes no oficiales: Especialmente software «gratuito» de sitios sospechosos

Eliminación

Para eliminar nkn.exe y el malware asociado de un equipo infectado, se recomienda seguir estos pasos:

1. Ejecutar un análisis completo con software antimalware.
BleepingComputer recomienda específicamente descargar Malwarebytes y realizar un análisis gratuito para detectar y eliminar este tipo de malware. Se recomienda el uso de Malwarebytes.

2. Complementar el análisis con Spybot Search & Destroy para eliminar rastros de spyware.

3. Eliminación manual (para usuarios avanzados):

  • Eliminar el archivo malicioso: Borrar nkn.exe de C:\Windows\System32\ y de C:\ProgramData\Temp\
  • Eliminar la tarea programada: Abrir el Programador de tareas y eliminar la tarea llamada «NKN»
  • Limpiar el registro: Eliminar la entrada ‘NKN’ de HKCU\Software\Microsoft\Windows\CurrentVersion\Run
  • Eliminar los mineros: Borrar xmr.exe y ton.exe de %ALLUSERSPROFILE%\temp\

4. Verificar la limpieza:
Después de la eliminación, reiniciar el sistema y ejecutar un nuevo análisis con herramientas antimalware para confirmar que no quedan rastros.

En caso de duda, se puede recurrir a un Antivirus Online para realizar un análisis rápido de verificación. Después de la limpieza, cambiar todas las contraseñas almacenadas en el equipo es una medida de seguridad fundamental.

Conclusión

En resumen, nkn.exe es un archivo malicioso que no tiene cabida en un sistema operativo Windows legítimo. Ha sido identificado por BleepingComputer como el gusano W32/Kelvir-BC y por Dr.Web como parte del Trojan.Siggen18.2360 que descarga mineros de criptomonedas.

El archivo se aloja en C:\Windows\System32\nkn.exe o en C:\ProgramData\Temp\nkn.exe, y se configura para iniciarse automáticamente mediante una tarea programada que se ejecuta cada 3 minutos. No debe confundirse con nk.exe, un componente legítimo de Windows Mobile/CE que no está presente en Windows de escritorio.

Las consecuencias de ignorar su presencia pueden ser devastadoras: desde la minería ilegal de criptomonedas que consume todos los recursos del equipo hasta el robo de información y la participación en ataques DDoS. Ante cualquier sospecha, la verificación inmediata mediante herramientas de análisis y la eliminación del archivo son acciones ineludibles para proteger la seguridad del equipo.

Descargo de responsabilidad

Este artículo tiene fines informativos y no debe considerarse como un consejo técnico o profesional. Para obtener asistencia específica, consulta con un experto en tecnología o seguridad informática. Para más información, consulta nuestro descargo de responsabilidad.

Procesos