Autor Tema: URG, ADELANTO W32/Korgo.E Infecta equipos sin parche LSASS  (Leído 1716 veces)

Desconectado Danae

  • Administrator
  • *
  • Mensajes: 3196
  • Casi siempre en el armario.
    • windowsfacil,  primeros pasos con windows y el pc
URG, ADELANTO W32/Korgo.E Infecta equipos sin parche LSASS
« en: 01 de Junio de 2004, 05:57:49 pm »
W32/Korgo.E.
Infecta equipos sin parche LSASS
miércoles 2 de junio de 2004 (adelanto)
Nombre: W32/Korgo.E
Tipo: Gusano de Internet
Alias: Korgo.E, W32.Korgo.E, Worm.Win32.Padobot.Gen, Win32/Korgo.E
Fecha: 1/jun/04
Plataforma: Windows 32-bit
Tamaño: 10,752 bytes (UPX)
Puertos: TCP 113, 3067, 6667, 445

Variante del gusano Korgo.D, ligeramente modificada. Se trata de un gusano que explota la conocida vulnerabilidad en el componente LSASS (usada también por gusanos como Sasser, Cycle, Bobax, etc.). Infecta equipos con Windows XP y 2000 sin el parche correspondiente instalado, por el simple hecho de conectarse estos a Internet, no siendo necesaria la ejecución de ningún archivo o adjunto que involucre acción alguna por parte del usuario.

El proceso LSASS (Local Security Authority Subsystem), controla varias tareas de seguridad consideradas críticas, incluyendo control de acceso y políticas de dominios. Una de las interfaces MS-RPC asociada con el proceso LSASS, contiene un desbordamiento de búfer que ocasiona un volcado de pila, explotable en forma remota. La explotación de este fallo, no requiere autenticación, y puede llegar a comprometer a todo el sistema. La naturaleza de esta vulnerabilidad, se presta a ser explotada por un gusano o virus informático, capaz de propagarse por las redes. Más información: "MS04-011 Actualización crítica de Windows (835732)", http://www.vsantivirus.com/vulms04-011.htm

Aunque la vulnerabilidad afecta a equipos con Windows XP o 2000, el gusano puede ejecutarse en equipos con otros Windows sin infectarlos, para propagarse.
Cuando se ejecuta, el gusano busca y borra el archivo FTPUPD.EXE en la carpeta actual.
Crea los siguientes mutex para asegurarse una sola instancia de si mismo en memoria al mismo tiempo (un mutex es un indicador en memoria que funciona como una especie de semáforo):
u6
u7
u9
uterm_9
Borra las siguientes entradas, si existen:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
avserve.exe
avserve2.exe
Bot Loader
System Restore Service
System Service Manager
Windows Security Manager
Windows Update Service
WinUpdate
Intenta consultar el valor de la entrada "Update Service" en la siguiente entrada del registro de Windows:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Si falla, crea la siguiente entrada:
HKLM\SOFTWARE\Microsoft\Wireless
Client = "1"
Y luego se copia a si mismo con un nombre al azar en la siguiente ubicación:
c:\windows\system32\[nombre al azar].exe
NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
También crea la siguiente entrada en el registro y lanza dicho proceso, finalizando luego su propia ejecución:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Update Service = c:\windows\system32\[nombre al azar].exe
Si la consulta por el valor "Update Service" es acertada (ya existe), pero el valor no contiene el camino completo al gusano, entonces se copia a si mismo en la carpeta System32 y se agrega a la misma entrada en el registro (Update Service = c:\windows\system32\[nombre al azar].exe). Ejecuta el proceso y finaliza.

Si la consulta por el valor "Update Service" es acertada (existe), y el valor indica el camino completo (Update Service = c:\windows\system32\[nombre al azar].exe), entonces borra el valor "Client" de la clave "HKLM\SOFTWARE\Microsoft\Wireless".
Al ejecutarse, el gusano queda a la escucha por los puertos TCP 113 y 3067.
Además, utiliza el puerto TCP 6667 para conectarse a alguno de los siguientes servidores de IRC:
brussels.be.eu.undernet.org
caen.fr.eu.undernet.org
flanders.be.eu.undernet.org
gaspode.zanet.org.za
gaz-prom.ru
graz.at.eu.undernet.org
irc.tsk.ru
K01irc.kar.net
lia.zanet.net
london.uk.eu.undernet.org
los-angeles.ca.us.undernet.org
moscow-advocat.ru
washington.dc.us.undernet.org
Luego, inicia un hilo de ejecución para explotar la vulnerabilidad LSASS, en direcciones IP seleccionadas al azar, a las cuáles intenta conectarse por el puerto TCP 445. Si la conexión es exitosa, y la vulnerabilidad es explotada, la máquina atacada intentará conectarse con la máquina actual para descargar el gusano y reiniciar la secuencia en dicho equipo.

El gusano también inicia un bucle sin fin para evitar el cierre del sistema.

Reparación manual
IMPORTANTE:
Después de la limpieza, no conectar el equipo a Internet, hasta instalar el parche para la vulnerabilidad LSASS (MS04-011). Si es necesario, descargarlo antes de proceder al resto de la limpieza, desde el siguiente enlace para instalarlo posteriormente:
MS04-011 Actualización crítica de Windows (835732)

Métodos para detener el reinicio de Windows

La descarga del parche correspondiente, puede verse dificultada por el constante reinicio del equipo infectado (un efecto secundario del exploit que se vale de la vulnerabilidad en el componente LSASS). Para evitarlo, siga cualquiera de estos métodos:
1. Simplemente atrase el reloj del sistema una o dos horas (ajústelo nuevamente a la hora correcta luego de la instalación del parche).
2. Desde Inicio, Ejecutar, escriba CMD y pulse Enter. Luego ingrese el siguiente comando (más Enter):
shutdown -a
Deshabilitar los recursos compartidos
Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.


Antivirus
Para borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Borre los archivos detectados como infectados.
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Update Service
4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Wireless
5. Pinche en la carpeta "Wireless" y bórrela.
6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Desconectado Dabo

  • Administrator
  • ******
  • Mensajes: 15184
    • http://www.daboblog.com
URG, ADELANTO W32/Korgo.E Infecta equipos sin parche LSASS
« Respuesta #1 en: 01 de Junio de 2004, 06:14:34 pm »
otra mas, gracias amiga, estaremos al tanto  :wink:
Hacking, computing, are in my blood, are a part of me, a part of my life...Debian GNU/Linux rules.

Twitter; @daboblog --> http://twitter.com/daboblog

www.daboblog.com | www.debianhackers.net | www.caborian.com | www.apachectl.com | www.hackeando.com | www.davidhernandez.es

Desconectado jontxudj

  • Pro Member
  • ****
  • Mensajes: 780
URG, ADELANTO W32/Korgo.E Infecta equipos sin parche LSASS
« Respuesta #2 en: 01 de Junio de 2004, 06:18:03 pm »
Muy bueno Danae.

 Gracias amiga.
A veces la necesidad te puede sacar de más apuros que la inteligencia.

 

Aviso Legal | Política de Privacidad | Política de Cookies

el contenido de la web se rige bajo licencia
Creative Commons License