Korgo W

CARACTERISTICAS
Existe una posible infección, cuando:

Está presente la siguiente entrada en el registro:

HKLMSOFTWAREMicrosoft
WindowsCurrentVersionRun
Cryptographic Service =
c:windowssystem32[nombre al azar].exe

Se genera tráfico excesivo en los siguientes puertos TCP:

113, 3067, 6667, 445 y 256 al 8191 al azar

Análisis:

El gusano es un archivo de 9,728 bytes comprimido con UPX.

Cuando se ejecuta, el gusano busca y borra el archivo FTPUPD.EXE en la carpeta actual. Luego se copia a si mismo en la carpeta System32 de Windows con un nombre al azar:

c:windowssystem32[nombre al azar].exe

De acuerdo a la versión de sistema operativo, las carpetas “c:windows” y “c:windowssystem32” pueden variar (“c:winnt”, “c:winntsystem32”, “c:windowssystem”).

Modifica la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows:

HKLMSOFTWAREMicrosoft
WindowsCurrentVersionRun
Cryptographic Service =
c:windowssystem32[nombre al azar].exe

Si la clave “Cryptographic Service” no existía antes, crea también la siguiente entrada:

HKLMSOFTWAREMicrosoftWireless
ID = [caracteres al azar]
Client = “1”

Si la clave “Cryptographic Service” ya existía, borra la entrada “Client” en HKLM SOFTWARE Microsoft Wireless.

También borra las siguientes entradas de la clave “HKLM SOFTWARE Microsoft Windows CurrentVersion Run” registro (si existen):

avserve.exe
avserve2.exeUpdate Service
Bot Loader
Disk Defragmenter
MS Config v13
System Restore Service
SysTray
Windows Security Manager
Windows Update
Windows Update Service
WinUpdate

El gusano escanea direcciones IP seleccionadas al azar por el puerto TCP/445, buscando sistemas vulnerables (TCP/445 es el puerto por defecto para el servicio vulnerable).

Esto ocasiona a veces, el fallo de las computadoras que no tienen el parche MS04-011 instalado.

Si el ataque es exitoso, un shell (intérprete de comandos), es iniciado en el equipo remoto.

A través del shell, se instruye al equipo remoto a descargar y ejecutar el gusano desde la computadora infectada.

El gusano utiliza los puertos TCP 113 y 3067. El gusano se envía por uno de estos puertos al infectar otros equipos vulnerables.

Una vez por segundo examina si existe una conexión a Internet antes de iniciar el ataque a otros sistemas.

Además, utiliza el puerto TCP 6667 para conectarse a alguno de los siguientes servidores de IRC:

brussels.be.eu.undernet.org
caen.fr.eu.undernet.org
flanders.be.eu.undernet.org
gaspode.zanet.org.za
graz.at.eu.undernet.org
irc.kar.net
irc.tsk.ru
lia.zanet.net
london.uk.eu.undernet.org
los-angeles.ca.us.undernet.org
moscow-advokat.ru
washington.dc.us.undernet.org

El gusano inicia un bucle sin fin para evitar el cierre del sistema ocasionado por el exploit a la vulnerabilidad LSASS.

También crea el siguiente mutex:

uterm19

Intenta inyectar una función como un hilo más dentro del proceso de EXPLORER.EXE. Si tiene éxito, la ejecución del gusano no se muestra en la lista del Administrador de tareas. En caso contrario sigue ejecutándose como un proceso independiente.

El gusano intenta conectarse periódicamente a los siguientes sitios de Internet, desde donde intenta descargar un archivo determinado:

adult-empire.com
asechka.ru
citi-bank.ru
color-bank.ru
crutop.nu
cvv.ru
fethard.biz
filesearch.ru
kavkaz.ru
kidos-bank.ru
konfiskat.org
master-x.com
mazafaka.ru
parex-bank.ru
roboxchange.com
www.redline.ru
xware.cjb.net

Si el archivo descargado contiene la cadena “zer0”, el gusano descarga otro archivo ejecutable desde el mismo sitio y lo guarda en la carpeta System32 de Windows para luego ejecutarlo. Si la cadena “zer0” no existe, el gusano no baja ningún archivo y reintenta la conexión más tarde. El tiempo de espera es seleccionado al azar.

El uso de un cortafuego personal, disminuye el riesgo de infección.

> INSTRUCCIONES PARA ELIMINARLO
1. Descargue e instale el parche MS04-011 y luego reinicie el equipo:

Microsoft Security Bulletin MS04-011
www.microsoft.com/technet/security/bulletin/ms04-011.mspx

2. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

3. Elimine bajo la columna “Nombre”, la entrada “Cryptographic Service”, en la siguiente clave del registro:

HKLMSOFTWAREMicrosoft
WindowsCurrentVersionRun

4. Elimine bajo la carpeta “Wireless”, en la siguiente clave del registro:

HKLMSOFTWAREMicrosoftWireless

5. Cierre el editor del registro.

6. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.

Deja un comentario