- Informe semanal sobre virus e intrusos -
Virus Alerts, por Panda Software (http://www.pandasoftware.es)

Madrid, 25 de junio de 2004 - Seis variantes de Korgo, el troyano
Downloader.JH y una herramienta de hacking llamada IPScanner.A centran
la
atención del presente informe sobre virus e intrusos.

Como sus predecesoras, las seis variantes de Korgo -la T, S, R, Q, P, O
y N-
a las que nos referimos hoy hacen uso de la vulnerabilidad de Windows
LSASS.
De esta forma, pueden propagarse a través de Internet e introducirse
automáticamente en los ordenadores. También afectan a todas las
plataformas
Windows, si bien sólo se introducen de forma automática en aquellos
equipos
que funcionen bajo Windows XP y 2000.

Las variantes S, R, Q, P y O de Korgo se conectan a una serie de sitios
web,
de los que intentan descargar archivos. Además, envían a los
mencionados
sitios información sobre el país donde se encuentra el ordenador al que
han
afectado. Korgo.T, por su parte, abre el puerto TCP 3067 y permanece a
la
escucha del mismo, esperando recibir un fichero que ejecutar en el
ordenador
afectado. Asimismo, intenta conectarse a varios servidores IRC, para
permitir la ejecución remota de comandos.

Para pasar desapercibidos, y a diferencia de otros ejemplares de
malware que
emplean la vulnerabilidad LSASS para afectar los equipos, las citadas
variantes de Korgo no provocan la aparición de un mensaje de error con
una
cuenta atrás y el posterior reinicio del ordenador.

El troyano que analizamos en el presente informe es Downloader.JH, que
obtiene información del ordenador al que afecta, en el que además
descarga
un dialer (que Panda Software detecta como Dialer.DA). Igualmente, en
el
equipo en el que se instala crea los siguientes archivos: D1K.EXE,
OLE32WS.DLL y CAX.CAB.

Downloader.JH es difícil de reconocer a simple vista, ya que no muestra
mensajes o avisos que alerten sobre su presencia. Para propagarse
precisa la
intervención del atacante que, para difundirlo, utilizará todo tipo de
elementos (disquetes, CD-ROMs, mensajes de correo electrónico con
archivos
adjuntos, descargas de Internet, transferencia de archivos a través de
FTP,
canales IRC, redes de intercambio de ficheros punto a punto -P2P-,
etc.).

Finalizamos el informe de hoy con IPScanner.A, programa que permite la
monitorización de ordenadores que pertenezcan a una red basada en
sistemas
operativos de Microsoft. Esta herramienta de hacking no muestra
mensajes o
avisos que pongan de manifiesto su presencia en un equipo.

Más información sobre éstas u otras amenazas informáticas en la
Enciclopedia
de Panda Software, disponible en la dirección:
http://www.pandasoftware.es/virus_info/enciclopedia/

Información adicional

- Dialer: aplicación que suele utilizarse para redirigir, de forma
maliciosa, las conexiones mientras se navega por Internet. Su objetivo
es
colgar la conexión telefónica que se está utilizando en ese momento (la
que
permite el acceso a Internet, mediante el marcado de un determinado
número
de teléfono) y establecer otra, marcando un número de teléfono de
tarifa
especial. Esto supondrá un notable aumento del importe en la factura
telefónica.

- Herramienta de hacking: programa que puede ser utilizado por un
hacker
para causar perjuicios a los usuarios de un ordenador (como permitir el
control del ordenador afectado, obtener información confidencial,
etc.).

Más definiciones técnicas en:
http://www.pandasoftware.es/virus_info/glosario/default.aspx