Nombre:Worm/Korgo.F.var
Descubierto:28/10/2005
Tipo:Gusano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:
Tamaño:11.391 Bytes
Suma de control MD5:ca47a36342c23f5c291ae4fc6d4f6416
Versión del VDF:6.32.00.123

 General Método de propagación:
   • Red local


Alias:
   •  Symantec: W32.Korgo.R
   •  Mcafee: W32/Korgo.worm.z
   •  Kaspersky: Net-Worm.Win32.Padobot.gen
   •  TrendMicro: WORM_KORGO.Z
   •  Grisoft: Worm/Padobot.AB
   •  VirusBuster: Worm.Korgo.Z
   •  Bitdefender: Win32.Worm.Korgo.Z


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Modificaciones en el registro
   • Emplea vulnerabilidades de software
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\%serie de caracteres aleatorios%.exe



Elimina el siguiente fichero:
   • %directorio donde se ejecuta el programa viral%\ftpupd.exe

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "System Update" = "%SYSDIR%\%serie de caracteres aleatorios%.exe"



Elimina del registro de Windows los valores de las siguientes claves:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • MS Config v13
   • avserve2.exeUpdate Service
   • avserve.exe
   • Windows Update Service
   • WinUpdate
   • SysTray
   • Bot Loader
   • System Restore Service
   • Disk Defragmenter
   • Windows Security Manager

–  [HKLM\Software\Microsoft\Wireless]
   • Client



Añade la siguiente clave al registro:

– [HKLM\Software\Microsoft\Wireless]
   • "Client" = "1"
   • "ID" = "%serie de caracteres aleatorios%"

 Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.


Exploit:
Emplea la siguiente brecha de seguridad:
– MS04-011 (LSASS Vulnerability)


Creación de direcciones IP:
Crea direcciones IP aleatorias e intenta establecer una conexión con dichas IPs.


Proceso de infección:
Hace que la máquina afectada descargue el programa viral del ordenador infectado.
El fichero descargado será guardado en el ordenador afectado, bajo el nombre: %SYSDIR%\%serie de caracteres aleatorios%

 IRC Para enviar informaciones y para proporcionar control remoto, se conecta a los siguientes servidores IRC:

Servidor: broadway.ny.us.**********
Puerto: 6667
Contraseña del servidor: %serie de caracteres aleatorios%
Canal: #taty
Apodo: %serie de caracteres aleatorios%_13

Servidor: brussels.be.eu.**********
Puerto: 6667
Contraseña del servidor: %serie de caracteres aleatorios%
Canal: #taty
Apodo: %serie de caracteres aleatorios%_13

Servidor: caen.fr.eu.**********
Puerto: 6667
Contraseña del servidor: %serie de caracteres aleatorios%
Canal: #taty
Apodo: %serie de caracteres aleatorios%_13

Servidor: ced.dal.**********
Puerto: 6667
Contraseña del servidor: %serie de caracteres aleatorios%
Canal: #taty
Apodo: %serie de caracteres aleatorios%_13

Servidor: coins.dal.**********
Puerto: 6667
Contraseña del servidor: %serie de caracteres aleatorios%
Canal: #taty
Apodo: %serie de caracteres aleatorios%_13

Servidor: diemen.nl.eu.**********
Puerto: 6667
Contraseña del servidor: %serie de caracteres aleatorios%
Canal: #taty
Apodo: %serie de caracteres aleatorios%_13

Servidor: flanders.be.eu.**********
Puerto: 6667
Contraseña del servidor: %serie de caracteres aleatorios%
Canal: #taty
Apodo: %serie de caracteres aleatorios%_13

Servidor: gaspode.zanet.**********
Puerto: 6667
Contraseña del servidor: %serie de caracteres aleatorios%
Canal: #taty
Apodo: %serie de caracteres aleatorios%_13

Servidor: graz.at.eu.**********
Puerto: 6667
Contraseña del servidor: %serie de caracteres aleatorios%
Canal: #taty
Apodo: %serie de caracteres aleatorios%_13

Servidor: lia.zanet.**********
Puerto: 6667
Contraseña del servidor: %serie de caracteres aleatorios%
Canal: #taty
Apodo: %serie de caracteres aleatorios%_13

Servidor: london.uk.eu.**********
Puerto: 6667
Contraseña del servidor: %serie de caracteres aleatorios%
Canal: #taty
Apodo: %serie de caracteres aleatorios%_13

Servidor: los-angeles.ca.us.**********
Puerto: 6667
Contraseña del servidor: %serie de caracteres aleatorios%
Canal: #taty
Apodo: %serie de caracteres aleatorios%_13

Servidor: lulea.se.eu.**********
Puerto: 6667
Contraseña del servidor: %serie de caracteres aleatorios%
Canal: #taty
Apodo: %serie de caracteres aleatorios%_13

Servidor: moscow-advokat.**********
Puerto: 6667
Contraseña del servidor: %serie de caracteres aleatorios%
Canal: #taty
Apodo: %serie de caracteres aleatorios%_13

Servidor: ozbytes.dal.**********
Puerto: 6667
Contraseña del servidor: %serie de caracteres aleatorios%
Canal: #taty
Apodo: %serie de caracteres aleatorios%_13

Servidor: qis.md.us.**********
Puerto: 6667
Contraseña del servidor: %serie de caracteres aleatorios%
Canal: #taty
Apodo: %serie de caracteres aleatorios%_13

Servidor: vancouver.**********
Puerto: 6667
Contraseña del servidor: %serie de caracteres aleatorios%
Canal: #taty
Apodo: %serie de caracteres aleatorios%_13

Servidor: viking.dal.**********
Puerto: 6667
Contraseña del servidor: %serie de caracteres aleatorios%
Canal: #taty
Apodo: %serie de caracteres aleatorios%_13

Servidor: washington.dc.us.**********
Puerto: 6667
Contraseña del servidor: %serie de caracteres aleatorios%
Canal: #taty
Apodo: %serie de caracteres aleatorios%_13

 Backdoor (Puerta trasera) Abre los siguientes puertos:

– explorer.exe en un puerto TCP aleatorio para funcionar como servidor HTTP.
– explorer.exe en el puerto TCP 3067 para proporcionar capabilidades de backdoor.

 Inyectar el código viral en otros procesos – Se inyecta como un hilo de ejecución remoto en un proceso.

    Nombre del proceso:
   • explorer.exe

   Si la operación falla, el programa malicioso sigue ejecutándose como proceso.
   Al lograr la operación, el programa malicioso cesa su ejecución, mientras que su componente inyectado queda activo.

 Informaciones diversas Objeto mutex:
Crea los siguientes objetos mutex:
   • uterm13i
   • u14
   • u13i
   • u13
   • u12
   • u11
   • u10
   • u9
   • u8

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Iulia Diaconescu el martes 4 de abril de 2006
Descripción actualizada por Iulia Diaconescu el miércoles 5 de abril de 2006

Volver . . . .