Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

W32/Korgo.AC. Infecta equipos sin parche LSASS
 
VSantivirus No. 1479 Año 8, sábado 24 de julio de 2004

W32/Korgo.AC. Infecta equipos sin parche LSASS
http://www.vsantivirus.com/korgo-ac.htm

Nombre: W32/Korgo.AC
Tipo: Gusano de Internet
Alias: Korgo.AC, Win32.Korgo.AC, WORM_KORGO.AC, W32/Korgo.worm.gen, Win32/Korgo.AC, W32.Korgo.Z
Fecha: 23/jul/04
Plataforma: Windows 32-bit
Tamaño: 9,359 bytes (UPX)
Puertos: TCP 113, 3067, 6667, 445 y 256-8191 al azar

Variante reportada el 23 de julio de 2004, descarga y ejecuta archivos de Internet. Está comprimida con la utilidad UPX.

Gusano que explota la conocida vulnerabilidad en el componente LSASS (usada también por gusanos como Sasser, Cycle, Bobax, etc.). Infecta equipos con Windows XP y 2000 sin el parche correspondiente instalado, por el simple hecho de conectarse estos a Internet, no siendo necesaria la ejecución de ningún archivo o adjunto que involucre acción alguna por parte del usuario.

Más información: "MS04-011 Actualización crítica de Windows (835732)", http://www.vsantivirus.com/vulms04-011.htm

Aunque la vulnerabilidad afecta a equipos con Windows XP o 2000, el gusano puede ejecutarse en equipos con otros Windows sin infectarlos, para propagarse.

Cuando se ejecuta, el gusano busca y borra el archivo FTPUPD.EXE en la carpeta actual.

Crea el siguiente mutex para asegurarse una sola instancia de si mismo en memoria al mismo tiempo (un mutex es un indicador en memoria que funciona como una especie de semáforo):

uterm19.2

También crea los siguientes mutex para prevenir la ejecución de otras versiones del mismo gusano:

u10
u11
u11x
u12
u12x
u13
u13i
u13x
u14
u14x
u15
u15x
u16
u16x
u17
u17x
u18
u18x
u19
u19.2x
u8
u9

Borra las siguientes entradas, si existen:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

avserve.exe
avserve2.exe
Bot Loader
Disk Defragmenter
MS Config v13
System Restore Service
SysTray
Update Service
Windows Security Manager
Windows Update Service
WinUpdate

Intenta consultar el valor de la entrada "Cryptographic Service" en la siguiente entrada del registro de Windows:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Si falla, crea la siguiente entrada:

HKLM\SOFTWARE\Microsoft\Wireless
ID = [caracteres al azar]
Client = "1"

Y luego se copia a si mismo con un nombre al azar en la siguiente ubicación:

c:\windows\system32\[nombre al azar].exe

NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).

También crea la siguiente entrada en el registro y lanza dicho proceso, finalizando luego su propia ejecución:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Cryptographic Service = c:\windows\system32\[nombre].exe

Si la consulta por el valor "Cryptographic Service" es acertada (ya existe), pero el valor no contiene el camino completo al gusano, entonces se copia a si mismo en la carpeta System32 y se agrega a la misma entrada en el registro (Cryptographic Service = c:\windows\system32\[nombre al azar].exe). Ejecuta el proceso y finaliza.

Si la consulta por el valor "Cryptographic Service" es acertada (existe), y el valor indica el camino completo (Cryptographic Service = c:\windows\system32\[nombre al azar].exe), entonces borra el valor "Client" de la clave "HKLM\SOFTWARE\Microsoft\Wireless".

El gusano intenta inyectarse como un hilo más con una función dentro de EXPLORER.EXE. Si tiene éxito, el hilo se ejecuta dentro del proceso EXPLORER.EXE, y la ejecución del gusano no se muestra en la lista de procesos activos de la ventana del Administrador de tareas. Si falla, sigue como un proceso independiente.

Al ejecutarse, el gusano queda a la escucha por los puertos TCP 113 y 3067, y por los puertos 256 al 8191 al azar.

Además, utiliza el puerto TCP 6667 para conectarse a alguno de los siguientes servidores de IRC:

brussels .be .eu .undernet .org
caen .fr .eu .undernet .org
flanders .be .eu .undernet .org
gaspode .zanet .org .za
graz .at .eu .undernet .org
irc .kar .net
irc .tsk .ru
lia .zanet .net
london .uk .eu .undernet .org
los-angeles .ca .us .undernet .org
moscow-advokat .ru
washington .dc .us .undernet .org

Luego, inicia un hilo de ejecución para explotar la vulnerabilidad LSASS, en direcciones IP seleccionadas al azar, a las cuáles intenta conectarse por el puerto TCP 445. Para ello, una vez por segundo examina si existe una conexión a Internet antes de iniciar el ataque a otros sistemas.

Si la conexión es exitosa, y la vulnerabilidad es explotada, la máquina atacada intentará conectarse con la máquina actual para descargar el gusano y reiniciar la secuencia en dicho equipo.

El gusano también inicia un bucle sin fin para evitar el cierre del sistema provocado por el exploit que afecta la vulnerabilidad LSASS.

El gusano intenta conectarse periódicamente a los siguientes sitios de Internet, para intentar descargar un archivo:

0AB1cvv .ru
adult-empire .com
asechka .ru
citi-bank .ru
color-bank .ru
crutop .nu
fethard .biz
filesearch .ru
kavkaz .tv
kidos-bank .ru
konfiskat .org
master-x .com
mazafaka .ru
parex-bank .ru
roboxchange .com
www .redline .ru
xware .cjb .net

Si el archivo descargado contiene la cadena "zer0", el gusano descarga otro archivo ejecutable desde el mismo sitio y lo guarda en la carpeta System32 de Windows para luego ejecutarlo.

Si la cadena "zer0" no existe en el archivo descargado primero, el gusano reintenta la conexión más tarde. El tiempo de espera es seleccionado al azar.


Reparación manual

IMPORTANTE:

Después de la limpieza, no conectar el equipo a Internet, hasta instalar el parche para la vulnerabilidad LSASS (MS04-011). Si es necesario, descargarlo antes de proceder al resto de la limpieza, desde el siguiente enlace para instalarlo posteriormente:

MS04-011 Actualización crítica de Windows (835732)

http://www.vsantivirus.com/vulms04-011.htm



Métodos para detener el reinicio de Windows

La descarga del parche correspondiente, puede verse dificultada por el constante reinicio del equipo infectado (un efecto secundario del exploit que se vale de la vulnerabilidad en el componente LSASS). Para evitarlo, siga cualquiera de estos métodos:

1. Simplemente atrase el reloj del sistema una o dos horas (ajústelo nuevamente a la hora correcta luego de la instalación del parche).

2. Desde Inicio, Ejecutar, escriba CMD y pulse Enter. Luego ingrese el siguiente comando (más Enter):

shutdown -a


Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).

Más información:

Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm


Deshabilitar los recursos compartidos

Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.


Antivirus

Para borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.

3. Borre los archivos detectados como infectados.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

Cryptographic Service

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Wireless

5. Pinche en la carpeta "Wireless" y bórrela.

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF)

Para activar ICF en Windows XP, siga estos pasos:

1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red).

2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas.

3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos.

4. Seleccione Aceptar, etc.


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm


Actualizaciones:

28/07/04 - 18:13 -0300 (Alias: W32.Korgo.Z)





(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2004 Video Soft BBS