Las doce variantes del gusano Korgo dan que pensar

por Carlos 09/06/2004 ...

Si alguien pensaba que ya no habría que preocuparse por el LSASS estaba muy equivocado. Sabíamos que el Sasser no sería el único en aprovechar esta vulnerabilidad, pero no esperábamos que tanto tiempo después continuasen apareciendo gusanos y menos del tipo del Korgo.

Este gusano no es como los demás, si, es cierto que se basa en el LSASS, un bug que ha dejado de ser preocupante en extremo gracias a todos los que han actualizado sus sistemas, pero el que en tan poco tiempo hayan salido 12 variantes distintas da que pensar.

Algo que también llama la atención es que no sólo, aparentemente, no daña el sistema, sino que intenta pasar inadvertido. Sabíamos que el Sasser lo único que buscaba era infectar más y más ordenadores, que el que nuestro ordenador se reiniciase era debido al sistema operativo, que detectaba la presencia del gusano. Los Korgo evitan este reinicio consiguiente que el usuario achaque la ralentización al propio sistema operativo sin que pueda plantearse claramente la presencia de un gusano.

Esto lo hace quizás más peligroso, pudiendo actuar sin ser detectado, pero teniendo en cuenta que muchos de los ordenadores que eran susceptibles de ser infectados ya no lo son, su peligrosidad se ve compensada en cierto modo.

Algunas características extra son la conexión a servidores de IRC, la apertura de puertos determinados y alguna que otra eliminación de archivos.

No vamos a detallar cada una de las doce variantes, pero si diremos que modifican el registro de sistema de forma que en todo momento y tras cada inicio de sistema el gusano se ejecute. Además, las versiones posteriores sustituyen a las anteriores eliminando estas e instalándose, algo que puede facilitar la datación de cada variante.

El mutex, algo que ya conocemos, lo mantienen respecto del Sasser, en este caso con el nombre utermXX donde la XX depende de la variante.

Desde Panda se cree que puede tratarse de un trabajo más importante que la simple infección y que está trabajando en nuestros sistemas para posteriormente, cuando haya un gran número de ordenadores infectados, realizar un ataque masivo.

Es por ello que hay que estar muy atentos, no solo a el LSASS, pues si el fin real de este gusano es el que supone Panda, no es imprescindible hacer uso del LSASS sino que valdría cualquier método de infección.


Tags: Redes

Más información: http://www.hispazone.com