Worm/Korgo.F.var - Worm

Siehe auch

Kurzfassung

Vollständig

Statistik

Name:	Worm/Korgo.F.var
Entdeckt am:	28/10/2005
Art:	Worm
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Mittel
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	11.391 Bytes
MD5 Prüfsumme:	ca47a36342c23f5c291ae4fc6d4f6416
VDF Version:	6.32.00.123 - Fri, 28 Oct 2005 10:52 (GMT+1)

General Verbreitungsmethode:
   • Lokales Netzwerk

Aliases:
   • Symantec: W32.Korgo.R
   • Mcafee: W32/Korgo.worm.z
   • Kaspersky: Net-Worm.Win32.Padobot.gen
   • TrendMicro: WORM_KORGO.Z
   • Grisoft: Worm/Padobot.AB
   • VirusBuster: Worm.Korgo.Z
   • Bitdefender: Win32.Worm.Korgo.Z

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Änderung an der Registry
   • Macht sich Software Verwundbarkeit zu nutzen
   • Ermöglicht unbefugten Zugriff auf den Computer

Dateien Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\%zufällige Buchstabenkombination%.exe

Folgende Datei wird gelöscht:
• %Verzeichnis in dem die Malware ausgeführt wurde%\ftpupd.exe

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "System Update" = "%SYSDIR%\%zufällige Buchstabenkombination%.exe"

Die Werte der folgenden Registry keys werden gelöscht:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • MS Config v13
   • avserve2.exeUpdate Service
   • avserve.exe
   • Windows Update Service
   • WinUpdate
   • SysTray
   • Bot Loader
   • System Restore Service
   • Disk Defragmenter
   • Windows Security Manager

– [HKLM\Software\Microsoft\Wireless]
   • Client

Folgender Registryschlüssel wird hinzugefügt:

– [HKLM\Software\Microsoft\Wireless]
   • "Client" = "1"
   • "ID" = "%zufällige Buchstabenkombination%"

Infektion über das Netzwerk Um die weitere Verbreitung sicherzustellen versucht sich die Malware mit anderen Computern zu verbinden. Die Einzelheiten hierzu sind im Folgenden beschrieben.

Exploit:
Folgende Sicherheitslücke wird ausgenutzt:
– MS04-011 (LSASS Vulnerability)

IP Adressen Erzeugung:
Es werden zufällige IP Adressen generiert und es wird dann versuche eine Verbindung aufzubauen.

Ablauf der Infektion:
Es veranlasst den übernommenen Computer die Malware auf dessen Rechner herunterzuladen.
Die heruntergeladene Datei wird auf dem enternten computer wie folgt gespeichert: %SYSDIR%\%zufällige Buchstabenkombination%

IRC Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen werden Verbindungen mit folgenden IRC Servern hergestellt:

Server: broadway.ny.us.**********
Port: 6667
Passwort des Servers: %zufällige Buchstabenkombination%
Channel: #taty
Nickname: %zufällige Buchstabenkombination%_13

Server: brussels.be.eu.**********
Port: 6667
Passwort des Servers: %zufällige Buchstabenkombination%
Channel: #taty
Nickname: %zufällige Buchstabenkombination%_13

Server: caen.fr.eu.**********
Port: 6667
Passwort des Servers: %zufällige Buchstabenkombination%
Channel: #taty
Nickname: %zufällige Buchstabenkombination%_13

Server: ced.dal.**********
Port: 6667
Passwort des Servers: %zufällige Buchstabenkombination%
Channel: #taty
Nickname: %zufällige Buchstabenkombination%_13

Server: coins.dal.**********
Port: 6667
Passwort des Servers: %zufällige Buchstabenkombination%
Channel: #taty
Nickname: %zufällige Buchstabenkombination%_13

Server: diemen.nl.eu.**********
Port: 6667
Passwort des Servers: %zufällige Buchstabenkombination%
Channel: #taty
Nickname: %zufällige Buchstabenkombination%_13

Server: flanders.be.eu.**********
Port: 6667
Passwort des Servers: %zufällige Buchstabenkombination%
Channel: #taty
Nickname: %zufällige Buchstabenkombination%_13

Server: gaspode.zanet.**********
Port: 6667
Passwort des Servers: %zufällige Buchstabenkombination%
Channel: #taty
Nickname: %zufällige Buchstabenkombination%_13

Server: graz.at.eu.**********
Port: 6667
Passwort des Servers: %zufällige Buchstabenkombination%
Channel: #taty
Nickname: %zufällige Buchstabenkombination%_13

Server: lia.zanet.**********
Port: 6667
Passwort des Servers: %zufällige Buchstabenkombination%
Channel: #taty
Nickname: %zufällige Buchstabenkombination%_13

Server: london.uk.eu.**********
Port: 6667
Passwort des Servers: %zufällige Buchstabenkombination%
Channel: #taty
Nickname: %zufällige Buchstabenkombination%_13

Server: los-angeles.ca.us.**********
Port: 6667
Passwort des Servers: %zufällige Buchstabenkombination%
Channel: #taty
Nickname: %zufällige Buchstabenkombination%_13

Server: lulea.se.eu.**********
Port: 6667
Passwort des Servers: %zufällige Buchstabenkombination%
Channel: #taty
Nickname: %zufällige Buchstabenkombination%_13

Server: moscow-advokat.**********
Port: 6667
Passwort des Servers: %zufällige Buchstabenkombination%
Channel: #taty
Nickname: %zufällige Buchstabenkombination%_13

Server: ozbytes.dal.**********
Port: 6667
Passwort des Servers: %zufällige Buchstabenkombination%
Channel: #taty
Nickname: %zufällige Buchstabenkombination%_13

Server: qis.md.us.**********
Port: 6667
Passwort des Servers: %zufällige Buchstabenkombination%
Channel: #taty
Nickname: %zufällige Buchstabenkombination%_13

Server: vancouver.**********
Port: 6667
Passwort des Servers: %zufällige Buchstabenkombination%
Channel: #taty
Nickname: %zufällige Buchstabenkombination%_13

Server: viking.dal.**********
Port: 6667
Passwort des Servers: %zufällige Buchstabenkombination%
Channel: #taty
Nickname: %zufällige Buchstabenkombination%_13

Server: washington.dc.us.**********
Port: 6667
Passwort des Servers: %zufällige Buchstabenkombination%
Channel: #taty
Nickname: %zufällige Buchstabenkombination%_13

Hintertür Die folgenden Ports werden geöffnet:

– explorer.exe an einem zufälligen TCP port um einen HTTP Server zur Verfügung zu stellen.
– explorer.exe am TCP Port 3067 um Backdoor Funktion zur Verfügung zu stellen.

Injektion – Es injiziert sich als einen Remote Thread in einen Prozess.

    Prozessname:
   • explorer.exe

   Schlägt dies fehl so bleibt die Malware weiterhin als Prozess aktiv.
   War dies erfolgreich so beendet sich der Prozess der Malware wobei der injizierte Teil aktiv bleibt.

Diverses Mutex:
Es werden folgende Mutexe erzeugt:
   • uterm13i
   • u14
   • u13i
   • u13
   • u12
   • u11
   • u10
   • u9
   • u8

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Kurzfassung hier.

Beschreibung erstellt von Iulia Diaconescu am Tue, 04 Apr 2006 15:13 (GMT+1)
Beschreibung geändert von Iulia Diaconescu am Wed, 05 Apr 2006 10:53 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück

Worm/Korgo.F.var - Worm

"Prozess einer Virenabwehr"