Virus Korgo.T

Efectos:

Korgo.T realiza las siguientes acciones:

• Abre el puerto 3067 y permanece a la escucha, esperando recibir un archivo que descargar y posteriormente ejecutar en el ordenador afectado. De este modo, permite la ejecución remota de comandos de control.
  Adicionalmente, y para verificar que el archivo descargado ha sido descargado íntegramente y puede ejecutarse sin problemas, la información se acompaña de una firma digital. Korgo.T comprueba dicha firma antes de ejecutar el archivo.
• Intenta conectarse utilizando un nombre de usuario aleatorio, al canal #taty de los siguientes servidores IRC:
  broadway.ny.us.dal.net
  brussels.be.eu.undernet.org
  caen.fr.eu.undernet.org
  ced.dal.net
  coins.dal.net
  diemen.nl.eu.undernet.org
  flanders.be.eu.undernet.org
  gaspode.zanet.org.za
  graz.at.eu.undernet.org
  lia.zanet.net
  london.uk.eu.undernet.org
  los-angeles.ca.us.undernet.org
  lulea.se.eu.undernet.org
  moscow-advokat.ru
  ozbytes.dal.net
  qis.md.us.dal.net
  vancouver.dal.net
  viking.dal.net
  washington.dc.us.undernet.org
  De este modo, permite la descarga y ejecución de archivos en el ordenador afectado.
  
• Se coloca residente en memoria. Esto lo consigue copiándose a sí mismo en el espacio de memoria ocupado por el proceso EXPLORER.EXE. De este modo, el usuario no podrá observar ningún proceso sospechoso, ni siquiera en el Administrador de tareas.
• Aunque Korgo.T emplea la vulnerabilidad LSASS para afectar el ordenador, sin embargo no provoca la aparición de un mensaje de error con una cuenta atrás y el posterior reinicio del ordenador, característica habitual de los malware que emplean dicha vulnerabilidad. Korgo.T evita el reinicio en un intento de pasar desapercibido.

Metodo de infección:

Korgo.T crea un archivo con nombre aleatorio y extensión EXE en el directorio de sistema de Windows. Este archivo es una copia del gusano.

Korgo.T crea la siguiente entrada en el Registro de Windows:

• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  System Update = %sysdir%\ %nombre%.exe
  donde %sysdir% es el directorio de sistema de Windows, y %nombre% es el nombre aleatorio del archivo creado por el gusano.
  Mediante esta entrada, Korgo.T consigue ejecutarse cada vez que Windows se inicia.

Korgo.T borra del Registro de Windows las entradas correspondientes a variantes anteriores de sí mismo, en caso de que el ordenador estuviera afectado por ellas.

Metodo de propagación:

Korgo.T se propaga a través de Internet, atacando ordenadores remotos. Para ello, realiza el siguiente proceso:

• Korgo.T genera direcciones IP aleatorias, a las que intenta acceder.
• Si lo consigue, comprueba si el ordenador remoto presenta la vulnerabilidad LSASS. Esta vulnerabilidad es crítica en los sistemas operativos Windows XP/2000 que no han sido convenientemente actualizados.
• En caso afirmativo, obliga al ordenador remoto a descargarse una copia del gusano.

Korgo.T sólo se propaga de manera automática a ordenadores con Windows XP/2000. Sin embargo, también funciona en el resto de sistemas operativos Windows, si el archivo correspondiente al gusano es ejecutado de alguna forma por un usuario malicioso. En este último caso, Korgo.T convertiría dicho ordenador en un nuevo foco de propagación.

Otros detalles:

Korgo.T tiene un tamaño de 11391 Bytes y está comprimido con UPX.

El campo ImageBase del encabezado PE del gusano contiene un valor inusualmente grande (0x31500000), con lo que garantiza que podrá ser cargado en una zona de memoria no utilizada del EXPLORER.EXE sin necesidad de realizar relocalizaciones.

Korgo.T crea el mutex uterm13.2i para asegurarse de que no haya más de una copia de sí mismo ejecutándose al mismo tiempo.