Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

   

W32/Korgo.Q. Infecta equipos sin parche LSASS
 
VSantivirus No. 1446 Año 8, lunes 21 de junio de 2004

W32/Korgo.Q. Infecta equipos sin parche LSASS
http://www.vsantivirus.com/korgo-q.htm

Nombre: W32/Korgo.Q
Tipo: Gusano de Internet
Alias: Korgo.Q, Padobot.H, W32.Korgo.Q, Worm.Win32.Padobot.Gen, Win32/Korgo.Q, WORM_KORGO.Q, W32/Korgo.worm.q, W32/Korgo.Q.worm, W32/Korgo.L, W32/Korgo.O.worm, Worm.Win32.Padobot.h, WORM_KORGO.N
Fecha: 21/jun/04
Plataforma: Windows 32-bit
Tamaño: 9,343 bytes (PE-Patch + UPX)
Puertos: TCP 113, 3067, 6667, 445 y 256-8191 al azar

Variante reportada el 21 de junio de 2004, descarga y ejecuta archivos de Internet. Está recomprimida con PE-Patch y UPX. Contiene una rutina anti-debugging para prevenir ser examinado.

Esta familia de gusanos explota la conocida vulnerabilidad en el componente LSASS (usada también por gusanos como Sasser, Cycle, Bobax, etc.). Infecta equipos con Windows XP y 2000 sin el parche correspondiente instalado, por el simple hecho de conectarse estos a Internet, no siendo necesaria la ejecución de ningún archivo o adjunto que involucre acción alguna por parte del usuario.

Aunque no puede infectar equipos con Windows 95, 98 y Me, el gusano si puede ejecutarse en ellos y desde allí atacar computadoras que tengan esta vulnerabilidad.

El proceso LSASS (Local Security Authority Subsystem), controla varias tareas de seguridad consideradas críticas, incluyendo control de acceso y políticas de dominios. Una de las interfaces MS-RPC asociada con el proceso LSASS, contiene un desbordamiento de búfer que ocasiona un volcado de pila, explotable en forma remota. La explotación de este fallo, no requiere autenticación, y puede llegar a comprometer a todo el sistema. La naturaleza de esta vulnerabilidad, se presta a ser explotada por un gusano o virus informático, capaz de propagarse por las redes. Más información: "MS04-011 Actualización crítica de Windows (835732)", http://www.vsantivirus.com/vulms04-011.htm

Cuando se ejecuta, el gusano busca y borra el archivo FTPUPD.EXE en la carpeta actual.

Crea el siguiente mutex para asegurarse una sola instancia de si mismo en memoria al mismo tiempo (un mutex es un indicador en memoria que funciona como una especie de semáforo):

uterm15

Borra las siguientes entradas, si existen:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

avserve.exe
avserve2.exeUpdate Service
Bot Loader
Disk Defragmenter
MS Config v13
System Restore Service
SysTray
Windows Security Manager
Windows Update Service
WinUpdate

Intenta consultar el valor de la entrada "Windows Update" en la siguiente entrada del registro de Windows:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Si falla, crea la siguiente entrada:

HKLM\SOFTWARE\Microsoft\Wireless
ID = [caracteres al azar]
Client = "1"

Y luego se copia a si mismo con un nombre al azar en la siguiente ubicación:

c:\windows\system32\[nombre al azar].exe

NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).

También crea la siguiente entrada en el registro y lanza dicho proceso, finalizando luego su propia ejecución:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows Update = c:\windows\system32\[nombre al azar].exe

Si la consulta por el valor "Windows Update" es acertada (ya existe), pero el valor no contiene el camino completo al gusano, entonces se copia a si mismo en la carpeta System32 y se agrega a la misma entrada en el registro (Windows Update = c:\windows\system32\[nombre al azar].exe). Ejecuta el proceso y finaliza.

Si la consulta por el valor "Windows Update" es acertada (existe), y el valor indica el camino completo (Windows Update = c:\windows\system32\[nombre al azar].exe), entonces borra el valor "Client" de la clave "HKLM\SOFTWARE\Microsoft\Wireless".

El gusano intenta inyectarse como un hilo más con una función dentro de EXPLORER.EXE. Si tiene éxito, el hilo se ejecuta dentro del proceso EXPLORER.EXE, y la ejecución del gusano no se muestra en la lista de procesos activos de la ventana del Administrador de tareas. Si falla, sigue como un proceso independiente.

Al ejecutarse, el gusano queda a la escucha por los puertos TCP 113 y 3067, y por los puertos 256 al 8191 al azar.

Además, utiliza el puerto TCP 6667 para conectarse a alguno de los siguientes servidores de IRC:

brussels.be.eu.undernet.org
caen.fr.eu.undernet.org
flanders.be.eu.undernet.org
gaspode.zanet.org.za
graz.at.eu.undernet.org
irc.kar.net
irc.tsk.ru
lia.zanet.net
london.uk.eu.undernet.org
los-angeles.ca.us.undernet.org
moscow-advokat.ru
washington.dc.us.undernet.org

Luego, inicia un hilo de ejecución para explotar la vulnerabilidad LSASS, en direcciones IP seleccionadas al azar, a las cuáles intenta conectarse por el puerto TCP 445. Para ello, una vez por segundo examina si existe una conexión a Internet antes de iniciar el ataque a otros sistemas.

Si la conexión es exitosa, y la vulnerabilidad es explotada, la máquina atacada intentará conectarse con la máquina actual para descargar el gusano y reiniciar la secuencia en dicho equipo.

El gusano también inicia un bucle sin fin para evitar el cierre del sistema provocado por el exploit que afecta la vulnerabilidad LSASS.

El gusano intenta conectarse periódicamente a los siguientes sitios de Internet, para intentar descargar un archivo:

adult-empire .com
asechka .ru
citi-bank .ru
color-bank .ru
crutop .nu
cvv .ru
fuck .ru
fethard .biz
filesearch .ru
goldensand .ru
hackers .lv
kavkaz .ru
kidos-bank .ru
konfiskat .org
lovingod .host .sk
master-x .com
mazafaka .ru
padonki .org
parex-bank .ru
trojan .ru
www .redline .ru
xware .cjb .net

Si el archivo descargado contiene la cadena "zer0", el gusano descarga otro archivo ejecutable desde el mismo sitio y lo guarda en la carpeta System32 de Windows para luego ejecutarlo.

Si la cadena "zer0" no existe en el archivo descargado primero, el gusano reintenta la conexión más tarde. El tiempo de espera es seleccionado al azar.


Reparación manual

IMPORTANTE:

Después de la limpieza, no conectar el equipo a Internet, hasta instalar el parche para la vulnerabilidad LSASS (MS04-011). Si es necesario, descargarlo antes de proceder al resto de la limpieza, desde el siguiente enlace para instalarlo posteriormente:

MS04-011 Actualización crítica de Windows (835732)

http://www.vsantivirus.com/vulms04-011.htm



Métodos para detener el reinicio de Windows

La descarga del parche correspondiente, puede verse dificultada por el constante reinicio del equipo infectado (un efecto secundario del exploit que se vale de la vulnerabilidad en el componente LSASS). Para evitarlo, siga cualquiera de estos métodos:

1. Simplemente atrase el reloj del sistema una o dos horas (ajústelo nuevamente a la hora correcta luego de la instalación del parche).

2. Desde Inicio, Ejecutar, escriba CMD y pulse Enter. Luego ingrese el siguiente comando (más Enter):

shutdown -a


Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).

Más información:

Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm


Deshabilitar los recursos compartidos

Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.


Antivirus

Para borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.

3. Borre los archivos detectados como infectados.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

Windows Update

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Wireless

5. Pinche en la carpeta "Wireless" y bórrela.

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF)

Para activar ICF en Windows XP, siga estos pasos:

1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red).

2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas.

3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos.

4. Seleccione Aceptar, etc.


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2004 Video Soft BBS