Estás en: Panda Security > Usuarios Domésticos > Security Info > about-malware > encyclopedia > detalle

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

Korgo.O
PeligrosidadDañoPropagación

De un vistazo Detalles técnicos Solución

Efectos

Korgo.O realiza las siguientes acciones:

Intenta conectarse a los siguientes sitios web, a los que envía información sobre el país donde se encuentra el ordenador afectado, y de los que intenta descargar archivos:
adult-empire.com
asechka.ru
bank.ru
color-bank.ru
crutop.nu
cvv.ru
fethard.biz
filesearch.ru
fuck.ru
goldensand.ru
hackers.lv
kavkaz.ru
kidos-bank.ru
konfiskat.org
lovingod.host.sk
master-x.com
mazafaka.ru
padonki.org
parex-bank.ru
trojan.ru
www.redline.ru
xware.cjb.net
Se coloca residente en memoria. Esto lo consigue copiándose a sí mismo en el espacio de memoria ocupado por el proceso EXPLORER.EXE. De este modo, el usuario no podrá observar ningún proceso sospechoso, ni siquiera en el Administrador de tareas.
Aunque Korgo.O emplea la vulnerabilidad LSASS para afectar el ordenador, sin embargo no provoca la aparición de un mensaje de error con una cuenta atrás y el posterior reinicio del ordenador, característica habitual de los malware que emplean dicha vulnerabilidad. Korgo.O evita el reinicio en un intento de pasar desapercibido.

Metodo de Infección

Korgo.O crea un archivo con nombre aleatorio y extensión EXE en el directorio de sistema de Windows. Este archivo es una copia del gusano.

Korgo.O crea la siguiente entrada en el Registro de Windows:

HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
Windows Update = %sysdir%\ %nombre%.exe
donde %sysdir% es el directorio de sistema de Windows, y %nombre% es el nombre aleatorio del archivo creado por el gusano.
Mediante esta entrada, Korgo.O consigue ejecutarse cada vez que Windows se inicia.

Korgo.O borra del Registro de Windows las entradas correspondientes a variantes anteriores de sí mismo, en caso de que el ordenador estuviera afectado por ellas.

Método de Propagación

Korgo.O se propaga a través de Internet, atacando ordenadores remotos. Para ello, realiza el siguiente proceso:

Korgo.O genera direcciones IP aleatorias, a las que intenta acceder.
Si lo consigue, comprueba si el ordenador remoto presenta la vulnerabilidad LSASS. Esta vulnerabilidad es crítica en los sistemas operativos Windows XP/2000 que no han sido convenientemente actualizados.
En caso afirmativo, obliga al ordenador remoto a descargarse una copia del gusano.

Korgo.O sólo se propaga de manera automática a ordenadores con Windows XP/2000. Sin embargo, también funciona en el resto de sistemas operativos Windows, si el archivo correspondiente al gusano es ejecutado de alguna forma por un usuario malicioso. En este último caso, Korgo.O convertiría dicho ordenador en un nuevo foco de propagación.

Otros Detalles

Korgo.O tiene un tamaño de 9343 Bytes y está comprimido con UPX.

El campo ImageBase del encabezado PE del gusano contiene un valor inusualmente grande (0x30900000), con lo que garantiza que podrá ser cargado en una zona de memoria no utilizada del EXPLORER.EXE sin necesidad de realizar relocalizaciones.

Panda Security. Nueva gama 2012. Renueva ahora.

Productos antivirus

Soporte técnico

Accesos rápidos

Servicio de Asistencia de Instalación

Nuestros expertos resuelven de forma remota: la instalación, activación, y configuración del antivirus.
[+] info

Servicio de Asistencia de Desinfección

Nuestros especialistas en desinfección eliminan por completo cualquier malware de tu equipo.
[+] info