Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

   

W32/Korgo.A. Infecta equipos sin parche LSASS
 
VSantivirus No. 1417 Año 8, domingo 23 de mayo de 2004

W32/Korgo.A. Infecta equipos sin parche LSASS
http://www.vsantivirus.com/korgo-a.htm

Nombre: W32/Korgo.A
Tipo: Gusano de Internet
Alias: Korgo, W32.Korgo.A
Fecha: 22/may/04
Plataforma: Windows 32-bit
Tamaño: 34,880 bytes
Puertos: TCP 113, 2041, 3067, 6667, 445

Se trata de un gusano que explota la conocida vulnerabilidad en el componente LSASS (usada también por gusanos como Sasser, Cycle, Bobax, etc.). Infecta equipos con Windows XP y 2000 sin el parche correspondiente instalado, por el simple hecho de conectarse estos a Internet, no siendo necesaria la ejecución de ningún archivo o adjunto que involucre acción alguna por parte del usuario.

El proceso LSASS (Local Security Authority Subsystem), controla varias tareas de seguridad consideradas críticas, incluyendo control de acceso y políticas de dominios. Una de las interfaces MS-RPC asociada con el proceso LSASS, contiene un desbordamiento de búfer que ocasiona un volcado de pila, explotable en forma remota. La explotación de este fallo, no requiere autenticación, y puede llegar a comprometer a todo el sistema. La naturaleza de esta vulnerabilidad, se presta a ser explotada por un gusano o virus informático, capaz de propagarse por las redes. Más información: "MS04-011 Actualización crítica de Windows (835732)", http://www.vsantivirus.com/vulms04-011.htm

Aunque la vulnerabilidad afecta a equipos con Windows XP o 2000, el gusano puede ejecutarse en equipos con otros Windows sin infectarlos, para propagarse.

Cuando se ejecuta, el gusano busca y borra el archivo GO.EXE en la carpeta actual.

Crea los siguientes mutex para asegurarse una sola instancia de si mismo en memoria al mismo tiempo (un mutex es un indicador en memoria que funciona como una especie de semáforo):

r10
u2
uterm5

Intenta consultar el valor de la entrada "WinUpdate" en la siguiente entrada del registro de Windows:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Si falla, crea la siguiente entrada:

HKLM\SOFTWARE\Microsoft\Wireless
Server = "1"

Y luego se copia a si mismo con un nombre al azar en la siguiente ubicación:

c:\windows\system32\[nombre al azar].exe

NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).

También crea la siguiente entrada en el registro y lanza dicho proceso, finalizando luego su propia ejecución:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WinUpdate = c:\windows\system32\[nombre al azar].exe

Si la consulta por el valor "WinUpdate" es acertada (WinUpdate ya existe), pero el valor no contiene el camino completo al gusano, entonces se copia a si mismo en la carpeta System32 y se agrega a la misma entrada en el registro (WinUpdate = c:\windows\system32\[nombre al azar].exe). Ejecuta el proceso y finaliza.

Si la consulta por el valor "WinUpdate" es acertada (WinUpdate existe), y el valor indica el camino completo (WinUpdate = c:\windows\system32\[nombre al azar].exe), entonces borra el valor "Server" de la clave "HKLM\SOFTWARE\Microsoft\Wireless".

Al ejecutarse, el gusano queda a la escucha por los puertos TCP 113, 3067 y 2041. En este último caso, aunque el gusano intenta escuchar por varios puertos seleccionados al azar, por un error en su código siempre utiliza el puerto 2041. El gusano también se envía siempre por este puerto al infectar otros equipos vulnerables.

Además, utiliza el puerto TCP 6667 para conectarse a alguno de los siguientes servidores de IRC:

brussels.be.eu.undernet.org
caen.fr.eu.undernet.org
flanders.be.eu.undernet.org
gaspode.zanet.org.za
graz.at.eu.undernet.org
irc.kar.net
lia.zanet.net
london.uk.eu.undernet.org
los-angeles.ca.us.undernet.org
moscow-advokat.ru
washington.dc.us.undernet.org

Luego, inicia un hilo de ejecución para explotar la vulnerabilidad LSASS, en direcciones IP seleccionadas al azar, a las cuáles intenta conectarse por el puerto TCP 445. Si la conexión es exitosa, y la vulnerabilidad es explotada, la máquina atacada intentará conectarse con la máquina actual para descargar el gusano y reiniciar la secuencia en dicho equipo.

El gusano también inicia un bucle sin fin para evitar el cierre del sistema.


Reparación manual

IMPORTANTE:

Después de la limpieza, no conectar el equipo a Internet, hasta instalar el parche para la vulnerabilidad LSASS (MS04-011). Si es necesario, descargarlo antes de proceder al resto de la limpieza, desde el siguiente enlace para instalarlo posteriormente:

MS04-011 Actualización crítica de Windows (835732)

http://www.vsantivirus.com/vulms04-011.htm



Métodos para detener el reinicio de Windows

La descarga del parche correspondiente, puede verse dificultada por el constante reinicio del equipo infectado (un efecto secundario del exploit que se vale de la vulnerabilidad en el componente LSASS). Para evitarlo, siga cualquiera de estos métodos:

1. Simplemente atrase el reloj del sistema una o dos horas (ajústelo nuevamente a la hora correcta luego de la instalación del parche).

2. Desde Inicio, Ejecutar, escriba CMD y pulse Enter. Luego ingrese el siguiente comando (más Enter):

shutdown -a


Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).

Más información:

Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm


Deshabilitar los recursos compartidos

Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.


Antivirus

Para borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.

3. Borre los archivos detectados como infectados.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

WinUpdate

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Wireless

5. Pinche en la carpeta "Wireless" y bórrela.

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF)

Para activar ICF en Windows XP, siga estos pasos:

1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red).

2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas.

3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos.

4. Seleccione Aceptar, etc.


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2004 Video Soft BBS