Connect with us

technokrata

Ismét újabb variánsa jelent meg a Korgo féregvírusnak

Dotkom

Ismét újabb variánsa jelent meg a Korgo féregvírusnak

Már több tucat változata van kint a ˝vadonban˝ a Korgo féregnek, a napokban mégis egy újabbal gazdagodott a kínálat.

A féreg paraméterei

Felfedezésének ideje: 2004. augusztus 2.
Utolsó frissítés ideje: 2004. augusztus 2.
Veszélyeztetett rendszerek: Windows 2k/XP
Nem érintett rendszerek: Windows 3.x/9x/Me/NT/2k3, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 11.776 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódásakor bekövetkező események

– letörli abból a könyvtárból az ftpupd.exe állományt, amelyikben futtatásra került
– létrehozza az uterm19.2 és az uterm20 mutexeket, ezzel biztosítva, hogy csak egyszer kerüljön betöltésre
– létrehozza az alábbi mutexeket: u10, u10x, u11, u11x, u12, u12x, u13, u13i, u13x, u14, u14x, u15, u15x, u16, u16x, u17, u17x, u18, u18x, u19, u8, u9
– letörli a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcsból a következő bejegyzéseket (ha azok ott léteznek):
. avserve.exe
. avserve2.exeUpdate Service
. Bot Loader
. Disk Defragmenter
. MS Config v13
. System Restore Service
. SysTray
. Windows Security Manager
. Windows Update
. Windows Update Service
. WinUpdate
– bemásolja magát a System mappába egy véletlenszerűen generált néven, .exe kiterjesztéssel
– hozzáadja a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Wireless kulcshoz a következő bejegyzéseket:
. Client=1
. ID=[véletlenszerű érték]
– hozzáadja a Cryptographic Service=[System elérési útvonala]/[véletlenszerű érték].exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– megkísérel végrehajtási szálként bevinni egy funkciót az Explorer.exe.be; ha ez sikerül, a féreg a továbbiakban az Explorer.exe process-ből fejti ki hatását
– amennyiben nem sikerül a fenti művelet, akkor saját process-ét futtatja tovább
– megnyit egy véletlenszerű TCP portot, amit önmaga továbbítására használ majd fel
– megkísérel kapcsolódni a következő (zömmel orosz) IRC-szerverekhez, ahonnan egyben frissíteni is képes önmagát
. adult-empire.com
. asechka.ru
. citi-bank.ru
. color-bank.ru
. crutop.nu
. fethard.biz
. filesearch.ru
. kavkaz.tv
. kidos-bank.ru
. konfiskat.org
. master-x.com
. mazafaka.ru
. parex-bank.ru
. roboxchange.com
. www.redline.ru
. xware.cjb.net
– megkísérli távoli számítógépeken (melyeket véletlenszerűen generált IP-címen ér el) kihasználni az LSASS Windows sérülékenységet



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek