Nombre:Worm/Korgo.U
Descubierto:24/06/2004
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:
Tamaño:9.728 Bytes
Suma de control MD5:e73c129128c47f948f25f8745ebada4c

 General Método de propagación:
   • Red local


Alias:
   •  Symantec: W32.Korgo.V
   •  Mcafee: W32/Korgo.worm.v
   •  Kaspersky: Net-Worm.Win32.Padobot.m
   •  TrendMicro: WORM_KORGO.V
   •  F-Secure: Net-Worm.Win32.Padobot.m
   •  Sophos: W32/Korgo-T
   •  Grisoft: Worm/Padobot.V
   •  Eset: Win32/Korgo.V
   •  Bitdefender: Win32.Worm.Korgo.U


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Modificaciones en el registro
   • Emplea vulnerabilidades de software
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\%serie de caracteres aleatorios%.exe



Elimina el siguiente fichero:
   • %SYSDIR%\ftpupd.exe

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Cryptographic Service="%SYSDIR%\%serie de caracteres aleatorios%.exe"



Elimina del registro de Windows los valores de las siguientes claves:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Windows Update
   • MS Config v13
   • avserve2.exeUpdate Service
   • avserve.exe
   • Windows Update Service
   • WinUpdate
   • SysTray
   • Bot Loader
   • System Restore Service
   • Disk Defragmenter
   • Windows Security Manager

–  [HKLM\Software\Microsoft\Wireless]
   • Client



Añade la siguiente clave al registro:

– [HKLM\Software\Microsoft\Wireless]
   • ID="puqwcckndpcvandicr"
   • Client="1"

 Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.

Suelta una copia suya en la siguiente carpeta compartida en la red:
   • IPC$


Exploit:
Emplea la siguiente brecha de seguridad:
– MS04-011 (LSASS Vulnerability)


Creación de direcciones IP:
Crea direcciones IP aleatorias y guarda los primeros dos octetos de su propia dirección. Luego intenta establecer una conexión con las direcciones generadas.


Proceso de infección:
Hace que la máquina afectada descargue el programa viral del ordenador infectado.
El fichero descargado será guardado en el ordenador afectado, bajo el nombre: Xhttp://%dirección IP actual%:%puerto abierto%/%serie de caracteres aleatorios%.exe


Ralentización:
– También se podría notar una leve ralentización debida a la creación de varios hilos de ejecución en la red.

 Backdoor (Puerta trasera) Abre los siguientes puertos:

%WINDIR%\Explorer.EXE en un puerto TCP aleatorio para funcionar como servidor proxy.
%WINDIR%\Explorer.EXE en un puerto TCP aleatorio para funcionar como servidor HTTP.


Servidor contactado:
Las siguientes:
   • http://www.citi-bank.ru/**********
   • http://www.0AB1c**********
   • http://www.redli**********
   • http://www.filesea**********
   • http://www.roboxcha**********
   • http://www.fethar**********
   • http://www.asech**********
   • http://www.master-**********
   • http://www.color-ba**********
   • http://www.kavk**********
   • http://www.cruto**********
   • http://www.kidos-ban**********
   • http://www.parex-ban**********
   • http://www.adult-emp**********
   • http://www.konfisk**********
   • http://www.xware.cj**********
   • http://www.mazafa**********

De esta forma, puede enviar informaciones y obtener el control remoto. Esto se realiza mediante una interrogación HTTP GET en un script PHP.


Envía informaciones acerca de:
    • Estado actual del programa viral


Capabilidades de control remoto:
    • Descargar fichero

 Inyectar el código viral en otros procesos –  Inyecta el siguiente fichero en un proceso: %sysdir%\%serie de caracteres aleatorios%.exe

    Nombre del proceso:
   • explorer.exe

   Si la operación falla, el programa malicioso sigue ejecutándose como proceso.
   Al lograr la operación, el programa malicioso cesa su ejecución, mientras que su componente inyectado queda activo.

 Informaciones diversas Objeto mutex:
Crea los siguientes objetos mutex:
   • u13i
   • u15
   • u19
   • uterm19
   • u12
   • u13
   • u14
   • u11
   • u18
   • u17
   • u8
   • u10
   • u16

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • UPX

Descripción insertada por Monica Ghitun el jueves 8 de noviembre de 2007
Descripción actualizada por Monica Ghitun el viernes 9 de noviembre de 2007

Volver . . . .