Foros de daboweb
SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc => Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware => Mensaje iniciado por: Danae en 31 de Mayo de 2004, 06:41:22 pm
-
Korgo.D
Variante modificada de Korgo.C descubierta el 31 de mayo de 2004. Se propaga utilizando la vulnerabilidad de LSASS (Local Security Authority Subsystem). Sólo afecta computadoras con Windows XP o 2000 sin actualizar adecuadamente. Elimina versiones anteriores de Korgo y otros virus si las encuentra en el sistema.
Nombre completo: Worm.WNT/Korgo.D@MM
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [WNT] - Ejecutable PE (Portable Executable) que corre en Windows NT, 2000, XP, 2003
Mecanismo principal de difusión: [MM] - Virus que envía masivamente mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado.
Tamaño (bytes): 9728
Síntomas de infección
Fallos continuos del proceso LSASS.EXE con el consiguiente reinicio de Windows.
Existencia de la siguiente entrada en el registro:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
System Restore Service =
%System%\[nombre al azar].exe
Donde %System% representa la carpeta de sitema de Windows. Por defecto, ésta es C:\WINNT\System32 en Windows 2000 y C:\WINDOWS\System32 en Windows XP.
Tráfico excesivo en los puertos TCP 113, 3067, 6667, 445
Análisis:
El gusano es un archivo de 9,728 bytes.
Cuando se ejecuta, el gusano busca y borra el archivo FTPUPD.EXE en la carpeta actual. Luego se copia a si mismo en la carpeta de sistema de Windows con un nombre al azar.
Modifica la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
System Restore Service =
c:\windows\system32\[nombre al azar].exe
Si la clave "System Restore Service" no existía antes, crea también la siguiente entrada:
HKLM\SOFTWARE\Microsoft\Wireless
Client = "1"
Si la clave "System Restore Service" ya existía, borra la entrada "Client" en HKLM \SOFTWARE \Microsoft \Wireless.
Tanbién borra las siguientes entradas de la clave "HKLM\ SOFTWARE \Microsoft \Windows \CurrentVersion \Run" registro (si existen):
WinUpdate
Windows Security Manager
avserve.exe
avserve2.exe
El gusano escanea direcciones IP seleccionadas al azar por el puerto TCP/445, buscando sistemas vulnerables (TCP/445 es el puerto por defecto para el servicio vulnerable).
Esto ocasiona a veces, el fallo de las computadoras que no tienen el parche MS04-011 instalado.
Si el ataque es exitoso, un shell (intérprete de comandos), es iniciado en el equipo remoto.
A través del shell, se instruye al equipo remoto a descargar y ejecutar el gusano desde la computadora infectada.
El gusano utiliza los puertos TCP 113 y 3067. El gusano se envía por uno de estos puertos al infectar otros equipos vulnerables.
Además, utiliza el puerto TCP 6667 para conectarse a alguno de los siguientes servidores de IRC:
brussels.be.eu.undernet.org
caen.fr.eu.undernet.org
flanders.be.eu.undernet.org
gaspode.zanet.org.za
gaz-prom.ru
graz.at.eu.undernet.org
irc.kar.net
irc.tsk.ru
lia.zanet.net
london.uk.eu.undernet.org
los-angeles.ca.us.undernet.org
moscow-advokat.ru
washington.dc.us.undernet.org
El gusano intenta iniciar un bucle sin fin para evitar el cierre del sistema.
También crea los siguiente mutex para no ejecutarse más de una vez en memoria:
· u6
· u7
· u8
· uterm8
Para impedir el reinicio de Windows XP ejecute el comando "shutdown -a". Para ello haga clic en "Inicio", seleccione "Ejecutar", teclee "shutdown -a" (sin las comillas) y haga clic en "aceptar". Otra opción (válida para Windows 2000) es retrasar el reloj del sistema un día.
El sistema no queda totalmente funcional, pero podrá activar el cortafuegos de Windows XP e instalar el parche para la vulnerabilidad desde el Boletín de Seguridad de Microsoft MS04-011.
Si utiliza Windows Me o XP es recomendable desactivar temporalmente la Restauración del Sistema
Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC.
Repare o borre el fichero infectado.
Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).
En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero.
A continuación hay que editar el registro para deshacer los cambios realizados por el virus.
Elimine el siguiente valor:
System Restore Service = %System%\[nombre al azar].exe
de la siguiente clave del registro:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.
-
gracias amiga por los tres avisos :lol:
ye te echabamos de menos 8)
-
Gracias Danae... :wink: