Connect with us

technokrata

E-mail nélkül szaporodó féregvírus

Dotkom

E-mail nélkül szaporodó féregvírus

A Korgo A és B változata a vírusírók által egyre kedveltebbé váló LSASS-sebezhetőséget használja ki, így nincsen szüksége e-mailes közvetítésre.

A féreg paraméterei

Felfedezésének ideje: 2004. május 22.
Utolsó frissítés ideje: 2004. május 24.
Veszélyeztetett rendszerek: Windows 2k/XP/2k3
Nem érintett rendszerek: Windows 3.x/9x/Me/NT, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 34.880 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– letörli a go.exe állományt abból a mappából, ahonnan elindításra került
– létrehozza az r10, az u2 és az uterm5 mutexeket, így érve el, hogy csak egyszer kerüljön betöltésre a féreg
– a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcs WinUpdate értékét megnézi, amennyiben nem találja, hozzáadja a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Wireless kulcshoz a Server=1 bejegyzést; felmásolja magát a System könyvtárba egy véletlenszerű, EXE kiterjesztéssel bíró állomány képében, majd egy erre a file-ra mutató bejegyzést rögzít ugyanitt
– amennyiben megtalálja a bejegyzést, de az értéke nem egyezik meg a féreg elérési útvonalával, ugyanúgy bemásolja magát a System mappába, s készít egy WinUpdate nevű bejegyzést a fent említett Registry kulcsban, ami erre az állományra mutat
– amennyiben a lekérdezés pozitív eredményt hoz, a féreg letörli a Server bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Wireless kulcsból
– a féreg a 113-as, a 2041-es és a 3067-es TCP porton hallgatózik, a középsőn terjeszti magát
– megkísérel a 6667-es TCP porton keresztül a következő IRC-szerverek valamelyikéhez csatlakozni:
. moscow-advokat.ru
. graz.at.eu.undernet.org
. flanders.be.eu.undernet.org
. caen.fr.eu.undernet.org
. brussels.be.eu.undernet.org
. los-angeles.ca.us.undernet.org
. washington.dc.us.undernet.org
. london.uk.eu.undernet.org
. lia.zanet.net
. gaspode.zanet.org.za
. irc.kar.net
– elindít egy végrehajtási szálat az LSASS-sebezhetőség kihasználása végett, mellyel véletlenszerűen generált IP-címek 445-ös portján keresztül probálkozik
– ha sikeresen be tudott jutni egy rendszerbe, akkor a célpont számítógép visszacsatlakozik a megfertőzödött PC-hez, letölti, majd futtatja a férget
– végtelen ciklusba kényszeríti a rendszert



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek