W32/Korgo.Fam

Korgo.Fam es una familia de gusanos con muchas variantes, reportadas a partir del 22 de Mayo del 2004 hasta los últimos días del mes de Junio de este mismo año y posiblemente se generen más, considerando que su código fuente se distribuye en diversas páginas web de codificadores de virus. Aprovecha la vulnerabilidad LSASS de MS Windows, que consisten en un desbordamiento del buffer detallado en el boletín MS04-011 de Microsoft, permitiendo que los intrusos obtengan el control del sistema afectado, pudiendo ejecutar comandos y códigos malignos en forma remota.

La información y parche para esta vulnerabilidad se puede leer y descargar desde este enlace:

Microsoft Security Bulletin MS04-011

Los payloads de esta familia de gusano varían destacando los siguientes:

• Todas las variantes explotan la vulnerabilidad LSASS de MS Windows detallada en el Boletín MS04-011.
• Crean un mutex para controlar su ejecución en memoria más de una vez.
• Abren puertos TCP y rastrean direcciones IP aleatorias de sistemas vulnerables y de encontrarlos producen en ellos un desbordamiento en el archivo LSASS.EXE. 
• Terminan los procesos de varios antivirus, firewalls y software de control. 
• Intentan conectarse a determinados sitios en la web para descargar archivos con códigos backdoor.
• Algunas variantes borran llaves de registro del sistema. 
• Actuando como backdoors los autores de estas especies virales pueden tomar el control de los sistemas infectados en forma remota, vía los puertos abiertos TCP o el IRC (Internet Chat Relay). 

PER ANTIVIRUS® versión 8.7 con registro de virus al 24 de Junio del 2004 detecta y elimina eficientemente todas las variantes existentes y por crearse de este gusano, a través de su rutina exclusiva WiseHeuristics©.