Menú

  Buscar
Google

  En:
WWW
LatinoSeguridad

  Importante
  Alerta de virus

Worm-Backdoor.WNT/Korgo.AC

Alias:
W32.Korgo.Z (Symantec), WORM_KORGO.AC (Trend Micro), Win32.Korgo.AC (Computer Associates), Worm.Win32.Padobot.gen (Kaspersky (viruslist.com))

Descripción:
Korgo.AC es un gusano que intenta difundirse por redes aprovechando la vulnerabilidad de desbordamiento de búfer de PCT (Tecnología de Comunicaciones Privadas). Las versiones anteriores de Korgo utilizaban una vulnerabilidad distinta, la de LSASS.

Son vulnerables sistemas Windows NT/2000/XP sin el parche adecuado y con el puerto TCP/113 abierto.

Detalles:
Korgo.AC realiza las siguientes acciones:

Korgo.AC borra el fichero ftpupd.exe de la carpeta de dónde es ejecutado.

Crea el mutex "uterm19.2" para asegurarse de que sólo una instantancia del gusano es ejecutada.

Crea los siguientes mutexes, probablemente para bloquear la ejecución de otros virus.

  • u10
  • u10x
  • u11
  • u11x
  • u12
  • u12x
  • u13
  • u13i
  • u13x
  • u14
  • u14x
  • u15
  • u15x
  • u16
  • u16x
  • u17
  • u17x
  • u18
  • u18x
  • u19
  • u8
  • u9

Borra los valores

avserve.exe
avserve2.exeUpdate Service
Bot Loader
Disk Defragmenter
MS Config v13
System Restore Service
SysTray
Windows Security Manager
Windows Update
Windows Update Service
WinUpdate

de la clave del registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Se copia en la carpeta de sistema de Windows con un nombre aleatorio.

Añade los valores

"Client"="1"
"ID"=""

a la clave del registro

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wireless

Añade el valor

"Cryptographic Service"="%System%\[nombre aleatorio].exe"

a la clave del registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Intenta inyectar una función en un hilo de Explorer.exe. Si tiene éxito, el virus continua corriendo dentro del proceso de Explorer.exe, con lo que no aparecerá en el adminstrador de tareas de Windows, en caso contrario seguirá corriendo como en propio proceso.

Abre un puerto TCP aleatorio, que usa para enviarse.

Inenta conectarse y actualizarsde desde alguno de los siguientes servidores IRC:

  • 0AB1cvv.ru
  • adult-empire.com
  • asechka.ru
  • citi-bank.ru
  • color-bank.ru
  • crutop.nu
  • fethard.biz
  • filesearch.ru
  • kavkaz.tv
  • kidos-bank.ru
  • konfiskat.org
  • master-x.com
  • mazafaka.ru
  • parex-bank.ru
  • roboxchange.com
  • www.redline.ru
  • xware.cjb.net
Se conecta a un canal y espera órdenes que ejecuta en la máquina infectada.

Intenta explotar la vulnerabiliadad de Microsoft PCT (Boletín de Seguridad de Microsoft MS04-011) contra direcciones IP aleatorias. Si tiene éxito, intenta reconectarse al ordenador infectado para descargar el gusano.

Solución:

  1. Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección, puede usar la característica de Restauración del Sistema para eliminar el virus volviendo a un punto de restauración anterior a la infección. (Tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración)

    Si esto no es posible o no funciona es recomendable desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea desactivar la Restauración del Sistema en Windows Me y desactivar la Restauración del Sistema en Windows XP.

  2. Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus Gratuitos. Repare o borre el fichero infectado.
     
    Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria). 

    Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.

    Borrar manualmente archivos agregados por el virus

    Desde el Explorador de Windows, localice y borre los siguientes archivos:

     

    • c:\windows\system\winxp.exe
    • c:\windows\system\winxp.exeopen
    • c:\windows\system\winxp.exeopenopen
    • c:\windows\system\winxp.exeopenopenopen
    • c:\windows\system\winxp.exeopenopenopenopen

    Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

  3. En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero.

  4. A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro o este vídeo de ayuda que ilustra el proceso. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.

    Elimine el siguiente valor:

    "Cryptographic Service"="%System%\[nombre aleatorio].exe"

    de la clave del registro:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  5. Reincie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.

Más Información sobre este virus en:

Fuente: red.es
 

Webmaster: 

webmaster@latinoseguridad.com

Ventas: 

joseluis@latinoseguridad.com

Sugerencias 

joseluis@latinoseguridad.com

Grupo Corporativo Diamante | Copyright © 2000 - 2003 | Todos los derechos reservados