En un principio, el gusano Korgo.A fue considerado como una
réplica más del famoso gusano Sasser. Sin embargo, el hecho de que en poco
tiempo hayan aparecido 12 variantes hace pensar que tras él se esconde algún
oscuro propósito, que podría traducirse en un grave peligro para la integridad
de los sistemas informáticos.
Los gusanos Korgo, al igual que Sasser, aprovechan la vulnerabilidad LSASS para
propagarse rápidamente a través de Internet e infectar los equipos. Sin embargo,
a diferencia de ellos, trata de pasar desapercibido ya que, por ejemplo, evita
que los equipos afectados se reinicien continuamente. Además de ello, y según la
variante de la que se trate, los gusanos Korgo borran algún que otro archivo,
abren puertos de comunicaciones, y tratan de conectarse a distintos servidores
de IRC.
Otro dato a destacar es que algunos de los gusanos Korgo utilizan mutex, una
técnica que permite controlar el acceso a recursos del sistema y evitar que más
de un proceso utilice el mismo recurso al mismo tiempo. Uno de los mutex que
crean estos códigos maliciosos lleva por nombre utermXX (siendo XX un número) y
-por lo que parece- están siendo numerados de manera secuencial. Así, mientras
que Korgo.C usa el mutex uterm 7, Korgo.J, emplea uterm12. Esto indicaría la
existencia de al menos 12 versiones del virus, si entendemos por nueva versión
aquellos ejemplares que presentan cambios muy significativos respecto a los
anteriores. A estas versiones hay que sumar otras variantes menores, que
difieren muy poco con respecto a la correspondiente versión original. Ese sería
el caso de Korgo.K y Korgo.L, que han sido creadas introduciendo leves
modificaciones en el código de algunas de las primeras versiones del gusano.
Por otra parte, estos códigos maliciosos modifican el registro de Windows, de
forma que cada nueva variante deshace los cambios introducidos por sus
predecesoras e introduce otros nuevos. De esta manera, puede conocerse la
secuencia en la que los gusanos están siendo creados. Por ejemplo, Korgo.D borra
las entradas creadas por Korgo.F. Con ello puede deducirse que Korgo.D ha sido
creado en fecha más reciente.
El objetivo que persigue el autor de estos códigos maliciosos sigue siendo una
incógnita. Según Luis Corrons, director de PandaLabs: "Desde luego el creador de
los gusanos Korgo está trabajando demasiado como para pensar que se trata de un
mero divertimento. Por otra parte", añade, "tampoco responde a la estrategia
típica de poner muchos virus similares en circulación para infectar el mayor
número de equipos posible, ya que se preocupa de que su última creación anule a
las anteriores".
Todo parece indicar que este escritor de virus está poniendo a punto algún
código malicioso especialmente dañino que pueda sorprender a los usuarios. Sin
embargo, sería una epidemia "silenciosa", ya que una de las características de
los gusanos Korgo es que llevan a cabo sus acciones de forma oculta para el
usuario.
Un dato que puede parecer contradictorio, frente a tanto alarde técnico, es el
hecho de que los gusanos Korgo emplean la vulnerabilidad LSASS de Windows,
condenada a morir a medida que los usuarios instalan los parches necesarios para
corregirla. Sin embargo, en opinión de Luis Corrons, "esto no supone mayor
problema. En cualquier momento, el autor de los gusanos Korgo podría aprovechar
otra vulnerabilidad que se descubra. Por ello, conviene no perder de vista a las
nuevas variantes que, sin duda, van a seguir apareciendo. Lo mejor que podría
ocurrir es que se localizase y detuviese cuanto antes al creador de estos
códigos maliciosos", concluye.
Ante la posibilidad de un encuentro con cualquiera de los gusanos Korgo, Panda
Software recomienda extremar las precauciones y mantener actualizado el software
antivirus. Los clientes de Panda Software ya tienen a su disposición las
correspondientes actualizaciones para la detección y desinfección de estos
códigos maliciosos. Asimismo, para evitar los ataques de Korgo o sus variantes
es necesario aplicar el parche de Microsoft para corregir la vulnerabilidad
LSASS, que puede ser descargado desde <http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx>.
|