W32/Korgo.AD. Infecta equipos sin parche LSASSNombre: W32/Korgo.AD
Tipo: Gusano de Internet
Alias: Korgo.AD, Win32/Korgo.AD, W32.Korgo.AD, WORM_KORGO.AD, W32/Korgo.worm.gen
Plataforma: Windows 32-bit
Tamaño: 11,776 bytes (UPX)
Puertos: TCP 113, 3067, 6667, 445 y 256-8191 al azar
Variante reportada el 2 de agosto de 2004, descarga y ejecuta archivos de Internet. Está comprimida con la utilidad UPX.
Gusano que explota la conocida vulnerabilidad en el componente LSASS (usada también por gusanos como Sasser, Cycle, Bobax, etc.). Infecta equipos con Windows XP y 2000 sin el parche correspondiente instalado, por el simple hecho de conectarse estos a Internet, no siendo necesaria la ejecución de ningún archivo o adjunto que involucre acción alguna por parte del usuario.
Más información: "MS04-011 Actualización crítica de Windows (835732)",
http://www.vsantivirus.com/vulms04-011.htmAunque la vulnerabilidad afecta a equipos con Windows XP o 2000, el gusano puede ejecutarse en equipos con otros Windows sin infectarlos, para propagarse.
Cuando se ejecuta, el gusano busca y borra el archivo FTPUPD.EXE en la carpeta actual.
Crea los siguientes mutex para asegurarse una sola instancia de si mismo en memoria al mismo tiempo (un mutex es un indicador en memoria que funciona como una especie de semáforo):
uterm19.2
uterm20
También crea los siguientes mutex para prevenir la ejecución de otras versiones del mismo gusano:
u10
u10x
u11
u11x
u12
u12x
u13
u13i
u13x
u14
u14x
u15
u15x
u16
u16x
u17
u17x
u18
u18x
u19
u8
u9
Borra las siguientes entradas, si existen:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
avserve.exe
avserve2.exeUpdate
Bot Loader
Disk Defragmenter
MS Config v13
Service
System Restore Service
SysTray
Windows Security Manager
Windows Update
Windows Update Service
WinUpdate
Intenta consultar el valor de la entrada "Cryptographic Service" en la siguiente entrada del registro de Windows:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Si falla, crea la siguiente entrada:
HKLM\SOFTWARE\Microsoft\Wireless
ID = [caracteres al azar]
Client = "1"
Y luego se copia a si mismo con un nombre al azar en la siguiente ubicación:
c:\windows\system32\[nombre al azar].exe
NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
También crea la siguiente entrada en el registro y lanza dicho proceso, finalizando luego su propia ejecución:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Cryptographic Service = c:\windows\system32\[nombre].exe
Si la consulta por el valor "Cryptographic Service" es acertada (ya existe), pero el valor no contiene el camino completo al gusano, entonces se copia a si mismo en la carpeta System32 y se agrega a la misma entrada en el registro (Cryptographic Service = c:\windows\system32\[nombre al azar].exe). Ejecuta el proceso y finaliza.
Si la consulta por el valor "Cryptographic Service" es acertada (existe), y el valor indica el camino completo (Cryptographic Service = c:\windows\system32\[nombre al azar].exe), entonces borra el valor "Client" de la clave "HKLM\SOFTWARE\Microsoft\Wireless".
El gusano intenta inyectarse como un hilo más con una función dentro de EXPLORER.EXE. Si tiene éxito, el hilo se ejecuta dentro del proceso EXPLORER.EXE, y la ejecución del gusano no se muestra en la lista de procesos activos de la ventana del Administrador de tareas. Si falla, sigue como un proceso independiente.
Al ejecutarse, el gusano queda a la escucha por los puertos TCP 113 y 3067, y por los puertos 256 al 8191 al azar.
Además, utiliza el puerto TCP 6667 para conectarse a alguno de los siguientes servidores de IRC:
brussels .be .eu .undernet .org
caen .fr .eu .undernet .org
flanders .be .eu .undernet .org
gaspode .zanet .org .za
graz .at .eu .undernet .org
irc .kar .net
irc .tsk .ru
lia .zanet .net
london .uk .eu .undernet .org
los-angeles .ca .us .undernet .org
moscow-advokat .ru
washington .dc .us .undernet .org
Luego, inicia un hilo de ejecución para explotar la vulnerabilidad LSASS, en direcciones IP seleccionadas al azar, a las cuáles intenta conectarse por el puerto TCP 445. Para ello, una vez por segundo examina si existe una conexión a Internet antes de iniciar el ataque a otros sistemas.
Si la conexión es exitosa, y la vulnerabilidad es explotada, la máquina atacada intentará conectarse con la máquina actual para descargar el gusano y reiniciar la secuencia en dicho equipo.
El gusano también inicia un bucle sin fin para evitar el cierre del sistema provocado por el exploit que afecta la vulnerabilidad LSASS.
El gusano intenta conectarse periódicamente a los siguientes sitios de Internet, para intentar descargar un archivo:
adult-empire .com
asechka .ru
citi-bank .ru
color-bank .ru
crutop .nu
cvv .ru
fethard .biz
filesearch .ru
kavkaz .tv
kidos-bank .ru
konfiskat .org
master-x .com
mazafaka .ru
parex-bank .ru
roboxchange .com
www .redline .ru
xware .cjb .net
Si el archivo descargado contiene la cadena "zer0", el gusano descarga otro archivo ejecutable desde el mismo sitio y lo guarda en la carpeta System32 de Windows para luego ejecutarlo.
Si la cadena "zer0" no existe en el archivo descargado primero, el gusano reintenta la conexión más tarde. El tiempo de espera es seleccionado al azar.
IMPORTANTE:
Después de la limpieza, no conectar el equipo a Internet, hasta instalar el parche para la vulnerabilidad LSASS (MS04-011). Si es necesario, descargarlo antes de proceder al resto de la limpieza, desde el siguiente enlace para instalarlo posteriormente:
MS04-011 Actualización crítica de Windows (835732)
Más información:
http://www.vsantivirus.com/korgo-ad.htmAgobot.BAJAgobot.BAJ es un destructivo gusano/backdoor que se propaga en Redes con recursos compartidos, estaciones de trabajo configuradas con contraseñas débiles y determinados canales de Chat.
Nombre completo: Worm.W32/Agobot.BAJ
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
Tamaño (bytes): 136218
Alias:W32.Gaobot.BAJ (Symantec), W32/Agobot.BAJ (PerAntivirus)
Detalles
Cuando se ejecuta este gusano realiza las siguientes acciones:
Se copia a sí mismo a:
%System%\wmon32.exe.
Dode %System% es una variable, que suele tomar los valores C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).
Añade uno de los siguientes valores:
"WSAConfiguration"="wmon32.exe"
a las claves del registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
de tal forma que el gusano se ejecuta cada vez que arranca Windows.
Se conecta a un servidor IRC en el puerto 6667 y escucha por comandos del atacante remoto, incluyendo los siguientes:
Descargar y ejecutar ficheros
Escanear la red
Detener e iniciar procesos
Borrar o crear ficheros
Lanzar ataques de denegación de servicio
Robar información y enviarla al atacante
Escanea recursos compartidos en red, intentando acceder a ellos usando una lista predeterminada de nombres de usuarios y claves.
Busca PC´s infectados por Mydoom. Si encuentra alguno, usa el backdoor instalado por él para copiarse al sistema infectado.
Borra las claves de CD de los siguientes juegos de ordenadores:
Command & Conquer Generals
FIFA 2003
Need For Speed Hot Pursuit 2
Soldier of Fortune II - Double Helix
Neverwinter
Rainbow Six III RavenShield
Battlefield 1942 Road To Rome
Project IGI 2
Counter-Strike
Unreal Tournament 2003
Half-Life
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4135Rotor Infecta archivos con extensión .EXE y .SCR, agregando su código al final de los archivos. Agrega funcionalidades de acceso remoto por puerta trasera.
Nombre completo: Backdoor.W32/Rotor
Tipo: [Backdoor] - Programa que permite a otro usuario acceder de forma no autorizada al ordenador infectado.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Alias:Win32/Rotor.A (Enciclopedia Virus (Ontinent))
Detalles
Cuando un archivo infectado es ejecutado, el virus infecta archivos .EXE y .SCR en todas las unidades de disco locales y compartidas en redes de la C a la Z.
La cantidad de archivos infectados varía en cada ejecución. Crea una nueva sección en el código de los archivos infectados, llamada .TXT
Evita infectar archivos que estén dentro de carpetas cuyos nombres que comiencen con el texto "WINN".
Luego, inyecta el código del componente backdoor dentro del proceso de "progman.exe". Este archivo está presente, pero no es usado por defecto ni por Windows 2000 ni por Windows XP.
El troyano intenta conectarse a un servidor remoto utilizanod el puerto TCP 382.
Si se establece una conexión, el virus abre una consola de comandos que puede ser utilizada por un atacante externo.
Luego de su ejecución, el virus devuelve el control al archivo original infectado.
En determinadas fechas, el virus puede mostrar en sucesión continua, los caracteres "l", "-", "/", "\" y "|", simulando las aspas de un rotor girando.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4134
