Nume:Worm/Korgo.U
Descoperit pe data de:24/06/2004
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:9.728 Bytes
MD5:e73c129128c47f948f25f8745ebada4c

 General Metoda de raspandire:
   • Reteaua locala


Alias:
   •  Symantec: W32.Korgo.V
   •  Mcafee: W32/Korgo.worm.v
   •  Kaspersky: Net-Worm.Win32.Padobot.m
   •  TrendMicro: WORM_KORGO.V
   •  F-Secure: Net-Worm.Win32.Padobot.m
   •  Sophos: W32/Korgo-T
   •  Grisoft: Worm/Padobot.V
   •  Eset: Win32/Korgo.V
   •  Bitdefender: Win32.Worm.Korgo.U


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Modificari in registri
   • Profita de vulnerabilitatile softului
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\%combinatie de caractere aleatoare%.exe



Sterge urmatorul fisier:
   • %SYSDIR%\ftpupd.exe

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Cryptographic Service="%SYSDIR%\%combinatie de caractere aleatoare%.exe"



Valorile urmatoarelor chei sunt sterse din registrii sistemului:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Windows Update
   • MS Config v13
   • avserve2.exeUpdate Service
   • avserve.exe
   • Windows Update Service
   • WinUpdate
   • SysTray
   • Bot Loader
   • System Restore Service
   • Disk Defragmenter
   • Windows Security Manager

–  [HKLM\Software\Microsoft\Wireless]
   • Client



Se adauga in registrii sistemului:

– [HKLM\Software\Microsoft\Wireless]
   • ID="puqwcckndpcvandicr"
   • Client="1"

 Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:

Creeaza o copie malware in urmatorul share de retea:
   • IPC$


Exploit:
Foloseste urmatoarea vulnerabilitate:
– MS04-011 (LSASS Vulnerability)


Generarea adreselor IP:
Creeaza adrese IP aleatoare, pastrand doar primii doi octeti din propria adresa. Apoi incearca sa contacteze adresele create.


Procesul de infectare:
Determina sistemul respectiv sa descarce un malware direct de pe masina infectata.
Fisierul descarcat este salvat pe masina infectata, cu numele: Xhttp://%IP-ul curent%:%port deschis%/%combinatie de caractere aleatoare%.exe


Reducerea vitezei:
– Este posibila si o usoara incetinire a sistemului, datorita accesarilor multiple in retea.

 Backdoor Deschide porturile:

– %WINDIR%\Explorer.EXE port TCP aleator pentru a functiona ca server proxy.
– %WINDIR%\Explorer.EXE port TCP aleator pentru a functiona ca server HTTP.


Servere contactate:
Urmatoarele:
   • http://www.citi-bank.ru/**********
   • http://www.0AB1c**********
   • http://www.redli**********
   • http://www.filesea**********
   • http://www.roboxcha**********
   • http://www.fethar**********
   • http://www.asech**********
   • http://www.master-**********
   • http://www.color-ba**********
   • http://www.kavk**********
   • http://www.cruto**********
   • http://www.kidos-ban**********
   • http://www.parex-ban**********
   • http://www.adult-emp**********
   • http://www.konfisk**********
   • http://www.xware.cj**********
   • http://www.mazafa**********

Astfel se pot transmite informatii si se poate obtine control la distanta. Aceasta se face printr-o interogare HTTP GET intr-un script PHP.


Trimte informatii despre:
    • Statusul actual al malware-ului


Posibilitati de control la distanta:
    • descarcare fisier

 Injectarea codului malware in alte procese –  Injecteaza fisierul urmator intr-un proces: %sysdir%\%combinatie de caractere aleatoare%.exe

    Numele procesului:
   • explorer.exe

   In cazul esecului operatiunii, malware-ul continua sa ruleze.
   Daca operatiunea se termina cu succes, malware-ul se opreste din executie, iar componenta injectata ramane activa.

 Alte informatii Mutex:
Creeaza urmatorii mutecsi:
   • u13i
   • u15
   • u19
   • uterm19
   • u12
   • u13
   • u14
   • u11
   • u18
   • u17
   • u8
   • u10
   • u16

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • UPX

Descripción insertada por Monica Ghitun el jueves 8 de noviembre de 2007
Descripción actualizada por Monica Ghitun el viernes 9 de noviembre de 2007

Volver . . . .