Gusanos Korgo: un peligroso experimento que ya va por la duodécima variante


Su autor parece estar experimentando continuamente con el objetivo de conseguir nuevas variantes que, en un momento dado, puedan sorprender a los usuarios y provocar una gran epidemia.
En un principio, el gusano Korgo.A fue considerado como una réplica más del famoso gusano Sasser. Sin embargo, el hecho de que en poco tiempo hayan aparecido 12 variantes hace pensar que tras él se esconde algún oscuro propósito, que podría traducirse en un grave peligro para la integridad de los sistemas informáticos.
Los gusanos Korgo, al igual que Sasser, aprovechan la vulnerabilidad LSASS para propagarse rápidamente a través de Internet e infectar los equipos. Sin embargo, a diferencia de ellos, trata de pasar desapercibido ya que, por ejemplo, evita que los equipos afectados se reinicien continuamente. Además de ello, y según la variante de la que se trate, los gusanos Korgo borran algún que otro archivo, abren puertos de comunicaciones, y tratan de conectarse a distintos servidores de IRC.





Otro dato a destacar es que algunos de los gusanos Korgo utilizan mutex, una técnica que permite controlar el acceso a recursos del sistema y evitar que más de un proceso utilice el mismo recurso al mismo tiempo. Uno de los mutex que crean estos códigos maliciosos lleva por nombre utermXX (siendo XX un número) y -por lo que parece- están siendo numerados de manera secuencial. Así, mientras que Korgo.C usa el mutex uterm 7, Korgo.J, emplea uterm12.

Esto indicaría la existencia de al menos 12 versiones del virus, si entendemos por nueva versión aquellos ejemplares que presentan cambios muy significativos respecto a los anteriores. A estas versiones hay que sumar otras variantes menores, que difieren muy poco con respecto a la correspondiente versión original. Ese sería el caso de Korgo.K y Korgo.L, que han sido creadas introduciendo leves modificaciones en el código de algunas de las primeras versiones del gusano.

Por otra parte, estos códigos maliciosos modifican el registro de Windows, de forma que cada nueva variante deshace los cambios introducidos por sus predecesoras e introduce otros nuevos. De esta manera, puede conocerse la secuencia en la que los gusanos están siendo creados. Por ejemplo, Korgo.D borra las entradas creadas por Korgo.F. Con ello puede deducirse que Korgo.D ha sido creado en fecha más reciente.

El objetivo que persigue el autor de estos códigos maliciosos sigue siendo una incógnita. Según Luis Corrons, director de PandaLabs: "Desde luego el creador de los gusanos Korgo está trabajando demasiado como para pensar que se trata de un mero divertimento. Por otra parte", añade, "tampoco responde a la estrategia típica de poner muchos virus similares en circulación para infectar el mayor número de equipos posible, ya que se preocupa de que su última creación anule a las anteriores".

Todo parece indicar que este escritor de virus está poniendo a punto algún código malicioso especialmente dañino que pueda sorprender a los usuarios. Sin embargo, sería una epidemia "silenciosa", ya que una de las características de los gusanos Korgo es que llevan a cabo sus acciones de forma oculta para el usuario.

Un dato que puede parecer contradictorio, frente a tanto alarde técnico, es el hecho de que los gusanos Korgo emplean la vulnerabilidad LSASS de Windows, condenada a morir a medida que los usuarios instalan los parches necesarios para corregirla. Sin embargo, en opinión de Luis Corrons, "esto no supone mayor problema.

En cualquier momento, el autor de los gusanos Korgo podría aprovechar otra vulnerabilidad que se descubra. Por ello, conviene no perder de vista a las nuevas variantes que, sin duda, van a seguir apareciendo. Lo mejor que podría ocurrir es que se localizase y detuviese cuanto antes al creador de estos códigos maliciosos", concluye.

Ante la posibilidad de un encuentro con cualquiera de los gusanos Korgo, Panda Software recomienda extremar las precauciones y mantener actualizado el software antivirus. Los clientes de Panda Software ya tienen a su disposición las correspondientes actualizaciones para la detección y desinfección de estos códigos maliciosos. Asimismo, para evitar los ataques de Korgo o sus variantes es necesario aplicar el parche de Microsoft para corregir la vulnerabilidad LSASS, que puede ser descargado desde: http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx.

Fuente:
iblnews.com



Otras noticias de interés:

La CCE decidirá voto Chileno por OOXML!!
En el Acta N1 del Comité Espejo coordinado conjuntamente por el INN y la CCE para analizar y discutir en torno a la homologación del estándar ECMA 376 como norma ISO 29500, se ha acordado que el INN delega las funciones de la Secretaría Técnica ...
Kazaa registra una seria vulnerabilidad
Los usuarios de programas de intercambio como Kazaa e iMesh han sido instados a descargar un parche de seguridad después de que se descubriera un serio problema en sus redes. ...
IE 10 contará con Do Not Track activado por defecto
La gigante informática de la ciudad de Redmond ha anunciado que la próxima versión de su popular navegador por internet, Internet Explorer 10, contará con una gran novedad que todos los usuarios agradecerán, en especial aquellos que les preocupa...
Pornógrafos pueden tomar el control del PC de usuarios conectados a Internet
Desesperados por involucrar a todo el mundo en su negocio, lo hacen a través de mensajes con basura conocidos como spam. Una vez un sitio de estos lo atrapa en sus garras, es imposible soltarse. Peor todavía, su nombre empieza a cir...
Google Chrome se actualiza con soporte a juegos 3D
Google ha lanzado una nueva versión de Chrome hoy mismo en la que se añade soporte a la API de JavaScript Pointer Lock....
Parche acumulativo para SQL Server (MS02-034)
Tres agujeros de seguridad encontrados en Microsoft SQL Server cuentan ya con una solución, a través de un nuevo parche acumulativo que engloba también las anteriores fallas. ...
Anonymous lanza ataque DDoS en defensa de LimeWire
Anonymous lanzó recientemente otro ataque dentro del conocido movimiento Operation Payback dirigido a la Industria de la música y el cine, más concretamente a las sociedades gestoras de autor, con el copyright como telón de fondo. El motivo, la h...
Blinda tus carpetas en Windows
Private Folder 1.0 es un software gratuito de Microsoft que garantiza la seguridad de tus carpetas en el caso de que compartas tu máquina con más gente. ...
Mozilla Firefox integrará en su código 'Google Safe Browsing'
En diciembre Google presentó dos extensiones para ser utilizadas con el navegador web Mozilla Firefox. Una de ellas era 'Google Safe Browsing', que alerta al usuario cuando visita una página web que pide información confidencial (datos personales ...
Firefox vs. Internet Explorer, ¿cuál es más seguro?
Un estudio de Symantec ha suscitado de nuevo el debate sobre que navegador es más seguro. El titular que ha transcendido del informe es que Firefox ha tenido más vulnerabilidades que Internet Explorer en lo que ha transcurrido de año. Sin embargo,...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • duodecima
  • experimento
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • gusanos
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • korgo
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • peligroso
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • variante
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra