La amenaza del gusano Korgo.A

11 Jun 2004 en Seguridad

En un principio, el gusano Korgo.A fue considerado como una réplica más del famoso gusano Sasser. Sin embargo, el hecho de que en poco tiempo hayan aparecido 12 variantes hace pensar que tras él se esconde algún oscuro propósito, que podría traducirse en un grave peligro para la integridad de los sistemas informáticos.

Los gusanos Korgo, al igual que Sasser, aprovechan la vulnerabilidad LSASS para propagarse rápidamente a través de Internet e infectar los equipos. Sin embargo, a diferencia de ellos, trata de pasar desapercibido ya que, por ejemplo, evita que los equipos afectados se reinicien continuamente. Además de ello, y según la variante de la que se trate, los gusanos Korgo borran algún que otro archivo, abren puertos de comunicaciones, y tratan de conectarse a distintos servidores de IRC.

Otro dato a destacar es que algunos de los gusanos Korgo utilizan mutex, una técnica que permite controlar el acceso a recursos del sistema y evitar que más de un proceso utilice el mismo recurso al mismo tiempo. Uno de los mutex que crean estos códigos maliciosos lleva por nombre utermXX (siendo XX un número) y -por lo que parece- están siendo numerados de manera secuencial. Así, mientras que Korgo.C usa el mutex uterm 7, Korgo.J, emplea uterm12. Esto indicaría la existencia de al menos 12 versiones del virus, si entendemos por nueva versión aquellos ejemplares que presentan cambios muy significativos respecto a los anteriores. A estas versiones hay que sumar otras variantes menores, que difieren muy poco con respecto a la correspondiente versión original. Ese sería el caso de Korgo.K y Korgo.L, que han sido creadas introduciendo leves modificaciones en el código de algunas de las primeras versiones del gusano.
 
Por otra parte, estos códigos maliciosos modifican el registro de Windows, de forma que cada nueva variante deshace los cambios introducidos por sus predecesoras e introduce otros nuevos. De esta manera, puede conocerse la secuencia en la que los gusanos están siendo creados. Por ejemplo, Korgo.D borra las entradas creadas por Korgo.F. Con ello puede deducirse que Korgo.D ha sido creado en fecha más reciente.

El objetivo que persigue el autor de estos códigos maliciosos sigue siendo una incógnita. Según Luis Corrons, director de PandaLabs: “Desde luego el creador de los gusanos Korgo está trabajando demasiado como para pensar que se trata de un mero divertimento. Por otra parte”, añade, “tampoco responde a la estrategia típica de poner muchos virus similares en circulación para infectar el mayor número de equipos posible, ya que se preocupa de que su última creación anule a las anteriores”.
 
Todo parece indicar que este escritor de virus está poniendo a punto algún código malicioso especialmente dañino que pueda sorprender a los usuarios. Sin embargo, sería una epidemia “silenciosa”, ya que una de las características de los gusanos Korgo es que llevan a cabo sus acciones de forma oculta para el usuario.

Un dato que puede parecer contradictorio, frente a tanto alarde técnico, es el hecho de que los gusanos Korgo emplean la vulnerabilidad LSASS de Windows, condenada a morir a medida que los usuarios instalan los parches necesarios para corregirla. Sin embargo, en opinión de Luis Corrons, “esto no supone mayor problema. En cualquier momento, el autor de los gusanos Korgo podría aprovechar otra vulnerabilidad que se descubra. Por ello, conviene no perder de vista a las nuevas variantes que, sin duda, van a seguir apareciendo. Lo mejor que podría ocurrir es que se localizase y detuviese cuanto antes al creador de estos códigos maliciosos”, concluye.
Ante la posibilidad de un encuentro con cualquiera de los gusanos Korgo, Panda Software recomienda extremar las precauciones y mantener actualizado el software antivirus. Los clientes de Panda Software ya tienen a su disposición las correspondientes actualizaciones para la detección y desinfección de estos códigos maliciosos. Asimismo, para evitar los ataques de Korgo o sus variantes es necesario aplicar el parche de Microsoft para corregir la vulnerabilidad LSASS, que puede ser descargado desde http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx.

Más información sobre éstas u otras amenazas informáticas en la Enciclopedia de Panda Software, disponible en la dirección: http://www.pandasoftware.es/virus_info/enciclopedia/

Para la detección y desinfección gratuita de los ordenadores pueden utilizar el antivirus on-line Panda ActiveScan, disponible en http://www.panda-argentina.com.ar