Nume:Worm/Korgo.F.var
Descoperit pe data de:28/10/2005
Tip:Vierme
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:11.391 Bytes
MD5:ca47a36342c23f5c291ae4fc6d4f6416
Versiune VDF:6.32.00.123

 General Metoda de raspandire:
   • Reteaua locala


Alias:
   •  Symantec: W32.Korgo.R
   •  Mcafee: W32/Korgo.worm.z
   •  Kaspersky: Net-Worm.Win32.Padobot.gen
   •  TrendMicro: WORM_KORGO.Z
   •  Grisoft: Worm/Padobot.AB
   •  VirusBuster: Worm.Korgo.Z
   •  Bitdefender: Win32.Worm.Korgo.Z


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Modificari in registri
   • Profita de vulnerabilitatile softului
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\%combinatie de caractere aleatoare%.exe



Sterge urmatorul fisier:
   • %directorul de activare malware%\ftpupd.exe

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "System Update" = "%SYSDIR%\%combinatie de caractere aleatoare%.exe"



Valorile urmatoarelor chei sunt sterse din registrii sistemului:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • MS Config v13
   • avserve2.exeUpdate Service
   • avserve.exe
   • Windows Update Service
   • WinUpdate
   • SysTray
   • Bot Loader
   • System Restore Service
   • Disk Defragmenter
   • Windows Security Manager

–  [HKLM\Software\Microsoft\Wireless]
   • Client



Se adauga in registrii sistemului:

– [HKLM\Software\Microsoft\Wireless]
   • "Client" = "1"
   • "ID" = "%combinatie de caractere aleatoare%"

 Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:


Exploit:
Foloseste urmatoarea vulnerabilitate:
– MS04-011 (LSASS Vulnerability)


Generarea adreselor IP:
Creeaza adrese IP aleatoare si incearca sa le contacteze.


Procesul de infectare:
Determina sistemul respectiv sa descarce un malware direct de pe masina infectata.
Fisierul descarcat este salvat pe masina infectata, cu numele: %SYSDIR%\%combinatie de caractere aleatoare%

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverele IRC:

Server: broadway.ny.us.**********
Port: 6667
Parola serverului: %combinatie de caractere aleatoare%
Canal: #taty
Nick: %combinatie de caractere aleatoare%_13

Server: brussels.be.eu.**********
Port: 6667
Parola serverului: %combinatie de caractere aleatoare%
Canal: #taty
Nick: %combinatie de caractere aleatoare%_13

Server: caen.fr.eu.**********
Port: 6667
Parola serverului: %combinatie de caractere aleatoare%
Canal: #taty
Nick: %combinatie de caractere aleatoare%_13

Server: ced.dal.**********
Port: 6667
Parola serverului: %combinatie de caractere aleatoare%
Canal: #taty
Nick: %combinatie de caractere aleatoare%_13

Server: coins.dal.**********
Port: 6667
Parola serverului: %combinatie de caractere aleatoare%
Canal: #taty
Nick: %combinatie de caractere aleatoare%_13

Server: diemen.nl.eu.**********
Port: 6667
Parola serverului: %combinatie de caractere aleatoare%
Canal: #taty
Nick: %combinatie de caractere aleatoare%_13

Server: flanders.be.eu.**********
Port: 6667
Parola serverului: %combinatie de caractere aleatoare%
Canal: #taty
Nick: %combinatie de caractere aleatoare%_13

Server: gaspode.zanet.**********
Port: 6667
Parola serverului: %combinatie de caractere aleatoare%
Canal: #taty
Nick: %combinatie de caractere aleatoare%_13

Server: graz.at.eu.**********
Port: 6667
Parola serverului: %combinatie de caractere aleatoare%
Canal: #taty
Nick: %combinatie de caractere aleatoare%_13

Server: lia.zanet.**********
Port: 6667
Parola serverului: %combinatie de caractere aleatoare%
Canal: #taty
Nick: %combinatie de caractere aleatoare%_13

Server: london.uk.eu.**********
Port: 6667
Parola serverului: %combinatie de caractere aleatoare%
Canal: #taty
Nick: %combinatie de caractere aleatoare%_13

Server: los-angeles.ca.us.**********
Port: 6667
Parola serverului: %combinatie de caractere aleatoare%
Canal: #taty
Nick: %combinatie de caractere aleatoare%_13

Server: lulea.se.eu.**********
Port: 6667
Parola serverului: %combinatie de caractere aleatoare%
Canal: #taty
Nick: %combinatie de caractere aleatoare%_13

Server: moscow-advokat.**********
Port: 6667
Parola serverului: %combinatie de caractere aleatoare%
Canal: #taty
Nick: %combinatie de caractere aleatoare%_13

Server: ozbytes.dal.**********
Port: 6667
Parola serverului: %combinatie de caractere aleatoare%
Canal: #taty
Nick: %combinatie de caractere aleatoare%_13

Server: qis.md.us.**********
Port: 6667
Parola serverului: %combinatie de caractere aleatoare%
Canal: #taty
Nick: %combinatie de caractere aleatoare%_13

Server: vancouver.**********
Port: 6667
Parola serverului: %combinatie de caractere aleatoare%
Canal: #taty
Nick: %combinatie de caractere aleatoare%_13

Server: viking.dal.**********
Port: 6667
Parola serverului: %combinatie de caractere aleatoare%
Canal: #taty
Nick: %combinatie de caractere aleatoare%_13

Server: washington.dc.us.**********
Port: 6667
Parola serverului: %combinatie de caractere aleatoare%
Canal: #taty
Nick: %combinatie de caractere aleatoare%_13

 Backdoor Deschide porturile:

– explorer.exe port TCP aleator pentru a functiona ca server HTTP.
– explorer.exe pe portul TCP 3067 pentru a oferi functionalitate de backdoor.

 Injectarea codului malware in alte procese – Se injecteaza ca un thread remote intr-un proces.

    Numele procesului:
   • explorer.exe

   In cazul esecului operatiunii, malware-ul continua sa ruleze.
   Daca operatiunea se termina cu succes, malware-ul se opreste din executie, iar componenta injectata ramane activa.

 Alte informatii Mutex:
Creeaza urmatorii mutecsi:
   • uterm13i
   • u14
   • u13i
   • u13
   • u12
   • u11
   • u10
   • u9
   • u8

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Iulia Diaconescu on Tuesday, April 4, 2006
Description updated by Iulia Diaconescu on Wednesday, April 5, 2006

Back . . . .