Menú

  Buscar
Google

  En:
WWW
LatinoSeguridad

  Importante
  Alerta de virus

Worm-Backdoor.WXP/Korgo.W@LSASS

Alias:
Win32/Korgo.W (Enciclopedia Virus (Ontinent)), W32/Korgo.W.worm (Panda Software)

Descripción:
Variante de Korgo detectada el 30 de junio de 2004. Se propaga utilizando la vulnerabilidad en el proceso LSASS (Local Security Authority Subsystem), reparada por Microsoft en el parche MS04-011. Solo infecta computadoras con Windows XP o 2000, que no posean dicho parche instalado, aunque puede ejecutarse (sin infectarlos) en cualquier sistema con Windows 95, 98 o Me. Descarga y ejecuta archivos de determinados sitios de Internet.

Detalles:

Síntomas

Presencia de la siguiente entrada en el registro:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Cryptographic Service =  c:\windows\system32\[nombre al azar].exe

Tráfico excesivo en los siguientes puertos TCP: 113, 3067, 6667, 445 y 256 al 8191 al azar

Análisis

El gusano es un archivo de 9,728 bytes comprimido con UPX.

Cuando se ejecuta, el gusano busca y borra el archivo FTPUPD.EXE en la carpeta actual. Luego se copia a si mismo en la carpeta System32 de Windows con un nombre al azar:

  • c:\windows\system32\[nombre al azar].exe

De acuerdo a la versión de sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").

Modifica la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Cryptographic Service =c:\windows\system32\[nombre al azar].exe

Si la clave "Cryptographic Service" no existía antes, crea también la siguiente entrada:

HKLM\SOFTWARE\Microsoft\Wireless
ID = [caracteres al azar]
Client = "1"

Si la clave "Cryptographic Service" ya existía, borra la entrada "Client" en HKLM \SOFTWARE \Microsoft \Wireless.

También borra las siguientes entradas de la clave "HKLM\ SOFTWARE \Microsoft \Windows \CurrentVersion \Run" registro (si existen):

  • avserve.exe
  • avserve2.exeUpdate Service
  • Bot Loader
  • Disk Defragmenter
  • MS Config v13
  • System Restore Service
  • SysTray
  • Windows Security Manager
  • Windows Update
  • Windows Update Service
  • WinUpdate

El gusano escanea direcciones IP seleccionadas al azar por el puerto TCP/445, buscando sistemas vulnerables (TCP/445 es el puerto por defecto para el servicio vulnerable).

Esto ocasiona a veces, el fallo de las computadoras que no tienen el parche MS04-011 instalado.

Si el ataque es exitoso, un shell (intérprete de comandos), es iniciado en el equipo remoto.

A través del shell, se instruye al equipo remoto a descargar y ejecutar el gusano desde la computadora infectada.

El gusano utiliza los puertos TCP 113 y 3067. El gusano se envía por uno de estos puertos al infectar otros equipos vulnerables.

Una vez por segundo examina si existe una conexión a Internet antes de iniciar el ataque a otros sistemas.

Además, utiliza el puerto TCP 6667 para conectarse a alguno de los siguientes servidores de IRC:

  • brussels.be.eu.undernet.org
  • caen.fr.eu.undernet.org
  • flanders.be.eu.undernet.org
  • gaspode.zanet.org.za
  • graz.at.eu.undernet.org
  • irc.kar.net
  • irc.tsk.ru
  • lia.zanet.net
  • london.uk.eu.undernet.org
  • los-angeles.ca.us.undernet.org
  • moscow-advokat.ru
  • washington.dc.us.undernet.org

El gusano inicia un bucle sin fin para evitar el cierre del sistema ocasionado por el exploit a la vulnerabilidad LSASS.

También crea el siguiente mutex: uterm19

Intenta inyectar una función como un hilo más dentro del proceso de EXPLORER.EXE. Si tiene éxito, la ejecución del gusano no se muestra en la lista del Administrador de tareas. En caso contrario sigue ejecutándose como un proceso independiente.

El gusano intenta conectarse periódicamente a los siguientes sitios de Internet, desde donde intenta descargar un archivo determinado:

  • adult-empire.com
  • asechka.ru
  • citi-bank.ru
  • color-bank.ru
  • crutop.nu
  • cvv.ru
  • fethard.biz
  • filesearch.ru
  • kavkaz.ru
  • kidos-bank.ru
  • konfiskat.org
  • master-x.com
  • mazafaka.ru
  • parex-bank.ru
  • roboxchange.com
  • www.redline.ru
  • xware.cjb.net

Si el archivo descargado contiene la cadena "zer0", el gusano descarga otro archivo ejecutable desde el mismo sitio y lo guarda en la carpeta System32 de Windows para luego ejecutarlo. Si la cadena "zer0" no existe, el gusano no baja ningún archivo y reintenta la conexión más tarde. El tiempo de espera es seleccionado al azar.

Solución:

  1. Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección, puede usar la característica de Restauración del Sistema para eliminar el virus volviendo a un punto de restauración anterior a la infección. (Tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración)

    Si esto no es posible o no funciona es recomendable desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea desactivar la Restauración del Sistema en Windows Me y desactivar la Restauración del Sistema en Windows XP.

  2. Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus Gratuitos. Repare o borre el fichero infectado.
     
    Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria). 

    Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.

  3. En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero.

  4. A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro o este vídeo de ayuda que ilustra el proceso. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.

    Elimine el siguiente valor:

    Cryptographic Service =c:\windows\system32\[nombre al azar].exe

    de la siguiente clave del registro:

    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  5. Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.

Más Información sobre este virus en:

Fuente: red.es
 

Webmaster: 

webmaster@latinoseguridad.com

Ventas: 

joseluis@latinoseguridad.com

Sugerencias 

joseluis@latinoseguridad.com

Grupo Corporativo Diamante | Copyright © 2000 - 2003 | Todos los derechos reservados