Estás en: Panda Security > Usuarios Domésticos > Security Info > about-malware > encyclopedia > detalle

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

Korgo.A
PeligrosidadDañoPropagación

De un vistazo Detalles técnicos Solución

Efectos

Korgo.A tiene los siguientes efectos:

Abre los puertos TCP 113, 3067 y 2041 y permanece a la escucha.
Intenta conectarse a los siguientes servidores IRC a través del puerto 6667:
brussels.be.eu.undernet.org
caen.fr.eu.undernet.org
flanders.be.eu.undernet.org
gaspode.zanet.org.za
graz.at.eu.undernet.org
irc.kar.net
lia.zanet.net
london.uk.eu.undernet.org
los-angeles.ca.us.undernet.org
moscow-advokat.ru
washington.dc.us.undernet.org
Está preparado para impedir que el ordenador pueda ser apagado.

Metodo de Infección

Korgo.A crea un archivo con nombre aleatorio y extensión EXE en el directorio de sistema de Windows. Este archivo es una copia del gusano.

Korgo.A borra el archivo GO.EXE, si éste se encuentra en el directorio desde el que se ejecuta el gusano.

Korgo.A crea las siguientes entradas en el Registro de Windows, según las condiciones que se detallan en la siguiente rutina:

En primer lugar, comprueba si existe la siguiente entrada en el Registro:
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
WinUpdate = %sysdir%\ %nombre%.exe
donde %sysdir% es el directorio de sistema de Windows, y %nombre% es el nombre aleatorio del archivo creado por el gusano.
Si dicha entrada no existe, la crea, con lo que consigue ejecutarse cada vez que se inicia Windows. Adicionalmente, crea esta otra clave:
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Wireless
Server = 1
Si la entrada existe, apuntando a un archivo distinto al de Korgo.A, éste la modifica, sustituyendo su valor por una referencia al archivo propio del gusano.
Finalmente, si la entrada existe, y su valor contiene una referencia al archivo creado por Korgo.A, éste elimina la clave:
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Wireless
Server = 1

Método de Propagación

Korgo.A se propaga a través de Internet, atacando ordenadores remotos. Para ello, realiza el siguiente proceso:

Korgo.A genera direcciones IP aleatorias, a las que intenta acceder.
Si lo consigue, comprueba si el ordenador remoto presenta la vulnerabilidad LSASS. Esta vulnerabilidad es crítica en los sistemas operativos Windows XP/2000 que no han sido convenientemente actualizados.
En caso afirmativo, obliga al ordenador remoto a descargarse una copia del gusano.

Korgo.A sólo se propaga de manera automática a ordenadores con Windows XP/2000. Sin embargo, también funciona en el resto de sistemas operativos Windows, si el archivo correspondiente al gusano es ejecutado de alguna forma por un usuario malicioso. En este último caso, Korgo.A convertiría dicho ordenador en un nuevo foco de propagación.

Otros Detalles

Korgo.A tiene un tamaño de 10240 Bytes cuando está comprimido mediante UPX v1.24, y de 16896 Bytes una vez es descomprimido.

Panda Security. Nueva gama 2012. Renueva ahora.

Productos antivirus

Soporte técnico

Accesos rápidos

Servicio de Asistencia de Instalación

Nuestros expertos resuelven de forma remota: la instalación, activación, y configuración del antivirus.
[+] info

Servicio de Asistencia de Desinfección

Nuestros especialistas en desinfección eliminan por completo cualquier malware de tu equipo.
[+] info