Connect with us

technokrata

Továbbra is e-mail nélkül terjed a Korgo féregvírus

Dotkom

Továbbra is e-mail nélkül terjed a Korgo féregvírus

Még mindig a Sasser által elsőként alkalmazott LSASS-sebezhetőség kihasználásával terjed a Korgo féreg.

A féreg paraméterei

Felfedezésének ideje: 2004. május 30.
Utolsó frissítés ideje: 2004. május 31.
Veszélyeztetett rendszerek: Windows 2k/XP/2k3
Nem érintett rendszerek: Windows 3.x/9x/Me/NT, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 9.728 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– letörli az ftpupd.exe állományt abból a mappából, ahonnan elindításra került
– létrehozza az u6, az u7, az u6 és az uterm8 mutexeket, így érve el, hogy csak egyszer kerüljön betöltésre a féreg
– letörli a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcsból a következő bejegyzéseket:
. WinUpdate
. Windows Security Manager
. avserve.exe
. avserve2.exe
– megnézi, hogy létezik-e a System Restore Service bejegyzés a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcsban; ha nem, hozzáadja a Client=1 bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Wireless Registry kulcshoz
– amennyiben létezik a fenti bejegyzés, de a benne levő elérési útvonal nem egyezik meg a féreg lokációjával, akkor:
. felmásolja magát a System mappába egy véletlenszerűen generált file-néven, EXE kiterjesztéssel
. hozzáadja a System Restore Service=[System elérési útvonala]/[véletlenszerűen generált file-név].exe bejegyzést a
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run kulcshoz
. elindítja az imént felmásolt állományt és leállítja az aktuálisan futó process-t
– ha a System Restore Service bejegyzés létezik, és az itt eltárolt elérési útvonal megegyezik a féreg lokációjával, letörli a Client bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Wireless kulcsból
– a féreg a 113-as, a 3067-es és egy véletlenszerűen választott TCP porton hallgatózik, ez utóbbin terjeszti magát
– megkísérel a 6667-es TCP porton keresztül a következő IRC-szerverek valamelyikéhez csatlakozni:
. moscow-advokat.ru
. graz.at.eu.undernet.org
. flanders.be.eu.undernet.org
. caen.fr.eu.undernet.org
. brussels.be.eu.undernet.org
. los-angeles.ca.us.undernet.org
. washington.dc.us.undernet.org
. london.uk.eu.undernet.org
. lia.zanet.net
. gaspode.zanet.org.za
. irc.kar.net
. irc.tsk.ru
. gaz-prom.ru
– elindít egy végrehajtási szálat az LSASS-sebezhetőség kihasználása végett, mellyel véletlenszerűen generált IP-címek 445-ös portján keresztül probálkozik
– ha sikeresen be tudott jutni egy rendszerbe, akkor a célpont számítógép visszacsatlakozik a megfertőzödött PC-hez, letölti, majd futtatja a férget



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek