Tras estudiar el comportamiento del autor de los gusanos Korgo, los expertos de PandaLabs sospechan que estos gusanos están perfeccionándose a fin de sorprender a los usuarios y provocar una gran epidemia.
«Los gusanos Korgo podrían ser algo más que una simple copia de Sasser», informó el gerente general de Panda Software – Chile, Luis Valenzuela Galleguillos. Según el ejecutivo, «el Laboratorio de Panda ha encontrado características poco comunes en este código malicioso, que ya tiene 12 versiones. El perfil desarrollado, hace sospechar a Nuestros expertos que el creador de Korgo puede estar preparando el camino para una nueva epidemia en la red».
Los gusanos Korgo, al igual que Sasser, aprovechan la vulnerabilidad LSASS para propagarse. Sin embargo, a diferencia de ellos, trata de pasar desapercibido ya que, por ejemplo, evita que los equipos afectados se reinicien continuamente.
Además de ello, y según la variante de la que se trate, los gusanos Korgo borran algún que otro archivo, abren puertos de comunicaciones, y tratan de conectarse a distintos servidores de IRC.
Otro dato a destacar, es que algunos de los gusanos Korgo utilizan mutex, técnica que permite controlar el acceso a recursos del sistema y evitar que más de un proceso utilice el mismo recurso al mismo tiempo.
Uno de los mutex que crean estos códigos maliciosos lleva nombre y un número utermXX. Los mutex del gusano están siendo numerados de manera secuencial y esto indicaría la existencia de distintas versiones del virus, 12 hasta el momento.
A estas versiones se suman las variantes menores, que difieren muy poco de la versión original (Korgo.K y Korgo.L)
Por otra parte, estos códigos maliciosos modifican el registro de Windows, de forma que cada nueva variante deshace los cambios introducidos por sus predecesoras e introduce otros nuevos.
El objetivo que persigue el autor de estos códigos maliciosos sigue siendo una incógnita. Según Luis Corrons, director de PandaLabs: «Desde luego el creador de los gusanos Korgo está trabajando demasiado como para pensar que se trata de una mera entretención. Además tampoco responde a la estrategia típica de poner muchos virus similares en circulación para infectar el mayor número de equipos posible, ya que se preocupa de que su última creación anule a las anteriores».
Todo parece indicar que este escritor de virus está preparando algún código malicioso especialmente dañino que pueda sorprender a los usuarios. Sin embargo, sería una epidemia «silenciosa», ya que una de las características de los gusanos Korgo es que llevan a cabo sus acciones de forma oculta para el usuario.
Podría pensarse que el futuro de los gusanos Korgo es limitado, en la medida que los usuarios instalan los parches necesarios para corregir la vulnerabilidad LSASS.
Sin embargo, según los análisis de Panda Labs, el comportamiento de su autor hace sospechar que en cualquier momento podría aprovechar otra vulnerabilidad que se descubra, por lo que hay que estar atentos a sus nuevas variantes y esperar que pronto se localice y detenga al creador.
Ante la posibilidad de un encuentro con cualquiera de los gusanos Korgo, Panda Software recomienda extremar las precauciones y mantener actualizado el software antivirus.
Asimismo, para evitar los ataques de Korgo o sus variantes es necesario aplicar el parche de Microsoft para corregir la vulnerabilidad LSASS.
Enlaces de interés:
www.pandasoftware.com
www.microsoft.com