Connect with us

Hirdetés

technokrata

Ismét újabb variánsa jelent meg a Korgo féregvírusnak

Dotkom

Ismét újabb variánsa jelent meg a Korgo féregvírusnak

Már több tucat változata van kint a ˝vadonban˝ a Korgo féregnek, a napokban mégis egy újabbal gazdagodott a kínálat.

A féreg paraméterei

Felfedezésének ideje: 2004. augusztus 2.
Utolsó frissítés ideje: 2004. augusztus 2.
Veszélyeztetett rendszerek: Windows 2k/XP
Nem érintett rendszerek: Windows 3.x/9x/Me/NT/2k3, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 11.776 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódásakor bekövetkező események

– letörli abból a könyvtárból az ftpupd.exe állományt, amelyikben futtatásra került
– létrehozza az uterm19.2 és az uterm20 mutexeket, ezzel biztosítva, hogy csak egyszer kerüljön betöltésre
– létrehozza az alábbi mutexeket: u10, u10x, u11, u11x, u12, u12x, u13, u13i, u13x, u14, u14x, u15, u15x, u16, u16x, u17, u17x, u18, u18x, u19, u8, u9
– letörli a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcsból a következő bejegyzéseket (ha azok ott léteznek):
. avserve.exe
. avserve2.exeUpdate Service
. Bot Loader
. Disk Defragmenter
. MS Config v13
. System Restore Service
. SysTray
. Windows Security Manager
. Windows Update
. Windows Update Service
. WinUpdate
– bemásolja magát a System mappába egy véletlenszerűen generált néven, .exe kiterjesztéssel
– hozzáadja a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Wireless kulcshoz a következő bejegyzéseket:
. Client=1
. ID=[véletlenszerű érték]
– hozzáadja a Cryptographic Service=[System elérési útvonala]/[véletlenszerű érték].exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– megkísérel végrehajtási szálként bevinni egy funkciót az Explorer.exe.be; ha ez sikerül, a féreg a továbbiakban az Explorer.exe process-ből fejti ki hatását
– amennyiben nem sikerül a fenti művelet, akkor saját process-ét futtatja tovább
– megnyit egy véletlenszerű TCP portot, amit önmaga továbbítására használ majd fel
– megkísérel kapcsolódni a következő (zömmel orosz) IRC-szerverekhez, ahonnan egyben frissíteni is képes önmagát
. adult-empire.com
. asechka.ru
. citi-bank.ru
. color-bank.ru
. crutop.nu
. fethard.biz
. filesearch.ru
. kavkaz.tv
. kidos-bank.ru
. konfiskat.org
. master-x.com
. mazafaka.ru
. parex-bank.ru
. roboxchange.com
. www.redline.ru
. xware.cjb.net
– megkísérli távoli számítógépeken (melyeket véletlenszerűen generált IP-címen ér el) kihasználni az LSASS Windows sérülékenységet



Szólj hozzá!

További Dotkom

Hirdetés

Népszerű

Hirdetés

Technokrata a Facebookon

Hirdetés

IoT-Magazin.hu

Hirdetés

Kütyük

Smart home

Így képzelik el a magyarok az álomotthonukat

2024. március 20. szerda

Office

Foglalj helyet, hogy helyet foglalhass!

2024. március 13. szerda

Smart home

Okoskészülék vagy hagyományos háztartási gép?

2024. február 28. szerda
owlet care babafigyelő

Smart home

OWLET CARE a magyarországi piacon!

2024. február 26. hétfő
Hirdetés

Dotkom

Műszaki-Magazin.hu

Hirdetés