W32/Korgo.L. Infecta equipos sin parche LSASS

^E

l proceso LSASS (Local Security Authority Subsystem), controla varias tareas de seguridad consideradas críticas, incluyendo control de acceso y políticas de dominios. Una de las interfaces MS-RPC asociada con el proceso LSASS, contiene un desbordamiento de búfer que ocasiona un volcado de pila, explotable en forma remota. La explotación de este fallo, no requiere autenticación, y puede llegar a comprometer a todo el sistema.

 

La naturaleza de esta vulnerabilidad, se presta a ser explotada por un gusano o virus informático, capaz de propagarse por las redes.

Aunque la vulnerabilidad afecta a equipos con Windows XP o 2000, el gusano puede ejecutarse en equipos con otros Windows sin infectarlos, para propagarse.

Cuando se ejecuta, el gusano busca y borra el archivo FTPUPD.EXE en la carpeta actual.

Crea los siguientes mutex para asegurarse una sola instancia de si mismo en memoria al mismo tiempo (un mutex es un indicador en memoria que funciona como una especie de semáforo):

r10
u10
u8
u9
uterm11

Borra las siguientes entradas, si existen:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

avserve.exe
avserve2.exeUpdate Service
Bot Loader
Disk Defragmenter
System Restore Service
Windows Security Manager
Windows Update Service
WinUpdate

Intenta consultar el valor de la entrada "Windows Update" en la siguiente entrada del registro de Windows:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Si falla, crea la siguiente entrada:

HKLM\SOFTWARE\Microsoft\Wireless
Client = "1"

Y luego se copia a si mismo con un nombre al azar en la siguiente ubicación:

c:\windows\system32\[nombre al azar].exe

NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).

También crea la siguiente entrada en el registro y lanza dicho proceso, finalizando luego su propia ejecución:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows Update = c:\windows\system32\[nombre al azar].exe

Si la consulta por el valor "Windows Update" es acertada (ya existe), pero el valor no contiene el camino completo al gusano, entonces se copia a si mismo en la carpeta System32 y se agrega a la misma entrada en el registro (Windows Update = c:\windows\system32\[nombre al azar].exe). Ejecuta el proceso y finaliza.

Si la consulta por el valor "Windows Update" es acertada (existe), y el valor indica el camino completo (Windows Update = c:\windows\system32\[nombre al azar].exe), entonces borra el valor "Client" de la clave "HKLM\SOFTWARE\Microsoft\Wireless".

El gusano intenta inyectarse como un hilo más con una función dentro de EXPLORER.EXE. Si tiene éxito, el hilo se ejecuta dentro del proceso EXPLORER.EXE, y la ejecución del gusano no se muestra en la lista de procesos activos de la ventana del Administrador de tareas. Si falla, sigue como un proceso independiente.

Al ejecutarse, el gusano queda a la escucha por los puertos TCP 113 y 3067, y por los puertos 256 al 8191 al azar.

Además, utiliza el puerto TCP 6667 para conectarse a alguno de los siguientes servidores de IRC:

brussels.be.eu.undernet.org
caen.fr.eu.undernet.org
flanders.be.eu.undernet.org
gaspode.zanet.org.za
graz.at.eu.undernet.org
irc.kar.net
irc.tsk.ru
lia.zanet.net
london.uk.eu.undernet.org
los-angeles.ca.us.undernet.org
moscow-advokat.ru
washington.dc.us.undernet.org

Luego, inicia un hilo de ejecución para explotar la vulnerabilidad LSASS, en direcciones IP seleccionadas al azar, a las cuáles intenta conectarse por el puerto TCP 445. Si la conexión es exitosa, y la vulnerabilidad es explotada, la máquina atacada intentará conectarse con la máquina actual para descargar el gusano y reiniciar la secuencia en dicho equipo.

El gusano también inicia un bucle sin fin para evitar el cierre del sistema.

Intenta conectarse a los siguientes sitios de Internet mediante una solicitud HTTP, supuestamente en un intento de realizar un ataque de denegación de servicio (DoS):

adult-empire.com
asechka.ru
citi-bank.ru
color-bank.ru
crutop.nu
cvv.ru
fethard.biz
filesearch.ru
fuck.ru
goldensand.ru
hackers.lv
kavkaz.ru
kidos-bank.ru
konfiskat.org
lovingod.host.sk
master-x.com
mazafaka.ru
moscow-advokat.ru
padonki.org
parex-bank.ru
trojan.ru
www.redline.ru
xware.cjb.net

Reparación manual

IMPORTANTE:

Después de la limpieza, no conectar el equipo a Internet, hasta instalar el parche para la vulnerabilidad LSASS (MS04-011). Si es necesario, descargarlo antes de proceder al resto de la limpieza, desde el siguiente enlace para instalarlo posteriormente:

MS04-011 Actualización crítica de Windows (835732)