publicidadpublicidad publicidad
 

> Home > Antivirus > Enciclopedia de virus > Virus Korgo.O

Virus Korgo.O

La Peligrosidad varía según el Daño y la Propagación

Peligrosidad Peligrosidad media Propagación Propagación baja Daño Daño muy alto
 
 
Descripción Detalles Solución Estadísticas

Efectos:

Korgo.O realiza las siguientes acciones:

  • Intenta conectarse a los siguientes sitios web, a los que envía información sobre el país donde se encuentra el ordenador afectado, y de los que intenta descargar archivos:
    adult-empire.com
    asechka.ru
    bank.ru
    color-bank.ru
    crutop.nu
    cvv.ru
    fethard.biz
    filesearch.ru
    fuck.ru
    goldensand.ru
    hackers.lv
    kavkaz.ru
    kidos-bank.ru
    konfiskat.org
    lovingod.host.sk
    master-x.com
    mazafaka.ru
    padonki.org
    parex-bank.ru
    trojan.ru
    www.redline.ru
    xware.cjb.net
  • Se coloca residente en memoria. Esto lo consigue copiándose a sí mismo en el espacio de memoria ocupado por el proceso EXPLORER.EXE. De este modo, el usuario no podrá observar ningún proceso sospechoso, ni siquiera en el Administrador de tareas.
  • Aunque Korgo.O emplea la vulnerabilidad LSASS para afectar el ordenador, sin embargo no provoca la aparición de un mensaje de error con una cuenta atrás y el posterior reinicio del ordenador, característica habitual de los malware que emplean dicha vulnerabilidad. Korgo.O evita el reinicio en un intento de pasar desapercibido.

Metodo de infección:

Korgo.O crea un archivo con nombre aleatorio y extensión EXE en el directorio de sistema de Windows. Este archivo es una copia del gusano.

Korgo.O crea la siguiente entrada en el Registro de Windows:

  • HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
    Windows Update = %sysdir%\ %nombre%.exe
    donde %sysdir% es el directorio de sistema de Windows, y %nombre% es el nombre aleatorio del archivo creado por el gusano.
    Mediante esta entrada, Korgo.O consigue ejecutarse cada vez que Windows se inicia.

Korgo.O borra del Registro de Windows las entradas correspondientes a variantes anteriores de sí mismo, en caso de que el ordenador estuviera afectado por ellas.

Metodo de propagación:

Korgo.O se propaga a través de Internet, atacando ordenadores remotos. Para ello, realiza el siguiente proceso:

  • Korgo.O genera direcciones IP aleatorias, a las que intenta acceder.
  • Si lo consigue, comprueba si el ordenador remoto presenta la vulnerabilidad LSASS. Esta vulnerabilidad es crítica en los sistemas operativos Windows XP/2000 que no han sido convenientemente actualizados.
  • En caso afirmativo, obliga al ordenador remoto a descargarse una copia del gusano.

Korgo.O sólo se propaga de manera automática a ordenadores con Windows XP/2000. Sin embargo, también funciona en el resto de sistemas operativos Windows, si el archivo correspondiente al gusano es ejecutado de alguna forma por un usuario malicioso. En este último caso, Korgo.O convertiría dicho ordenador en un nuevo foco de propagación.

Otros detalles:

Korgo.O tiene un tamaño de 9343 Bytes y está comprimido con UPX.

El campo ImageBase del encabezado PE del gusano contiene un valor inusualmente grande (0x30900000), con lo que garantiza que podrá ser cargado en una zona de memoria no utilizada del EXPLORER.EXE sin necesidad de realizar relocalizaciones.
 
 
 
Servicios

Buscador de internet

Callejero

Directorio de empresas

Directorio Web

Divisas

El Tiempo

Páginas amarillas

Páginas blancas

Traductor

 
Canales

ADSL

Alimentación

Horóscopo

Compras

Contactos

Formación

Juegos

Lotería de Navidad

Monografías

Móviles

Viajes

 
Noticias

Noticias

Nacional

Regional

Internacional

Cultura y ocio

Economía y finanzas

Deportes

Sociedad

Ciencia y tecnología

Medicina y salud

 
Recomendamos

Callejero

 

Cine

 

Dibujos para colorear

Dietas

 

Glosario

 

Horóscopo
Desarrolado por Hispanetwork