Nom:Worm/Korgo.U
La date de la découverte:24/06/2004
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:9.728 Octets
Somme de contrôle MD5:e73c129128c47f948f25f8745ebada4c

 Général Méthode de propagation:
   • Le réseau local


Les alias:
   •  Symantec: W32.Korgo.V
   •  Mcafee: W32/Korgo.worm.v
   •  Kaspersky: Net-Worm.Win32.Padobot.m
   •  TrendMicro: WORM_KORGO.V
   •  F-Secure: Net-Worm.Win32.Padobot.m
   •  Sophos: W32/Korgo-T
   •  Grisoft: Worm/Padobot.V
   •  Eset: Win32/Korgo.V
   •  Bitdefender: Win32.Worm.Korgo.U


Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il modifie des registres
   • Il emploie les vulnérabilités de software
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\%chaîne de caractères aléatoire%.exe



Il supprime le fichier suivant:
   • %SYSDIR%\ftpupd.exe

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Cryptographic Service="%SYSDIR%\%chaîne de caractères aléatoire%.exe"



Les valeurs des clés de registre suivantes sont supprimées:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Windows Update
   • MS Config v13
   • avserve2.exeUpdate Service
   • avserve.exe
   • Windows Update Service
   • WinUpdate
   • SysTray
   • Bot Loader
   • System Restore Service
   • Disk Defragmenter
   • Windows Security Manager

–  [HKLM\Software\Microsoft\Wireless]
   • Client



La clé de registre suivante est ajoutée:

– [HKLM\Software\Microsoft\Wireless]
   • ID="puqwcckndpcvandicr"
   • Client="1"

 Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.

Il s'autocopie dans le partage réseau suivant:
   • IPC$


La vulnérabilité:
Il se sert de la vulnérabilité suivante:
– MS04-011 (LSASS Vulnerability)


La création des adresses IP:
Il crée des adresses IP aléatoires tandis qu'il garde les deux premiers octets de sa propre adresse. Après il essaye d'établir une connexion avec les adresses créées.


Le processus d'infection:
Il fait la machine compromise télécharger le malware à partir de l'ordinateur source infecté.
Le fichier téléchargé est stocké sur la machine compromise comme: Xhttp://%L'adresse IP courante%:%port ouvert%/%chaîne de caractères aléatoire%.exe


Ralentissement de connexion:
– Vous pourriez également constater un léger ralentissement du système dû aux multiples fils d'exécution créés en réseau.

 Porte dérobée Les ports suivants sont ouverts:

%WINDIR%\Explorer.EXE sur un port TCP aléatoire afin de fonctionner comme serveur proxy.
%WINDIR%\Explorer.EXE sur un port TCP aléatoire afin de fournir un serveur HTTP


Serveur de contact:
Tous les suivants:
   • http://www.citi-bank.ru/**********
   • http://www.0AB1c**********
   • http://www.redli**********
   • http://www.filesea**********
   • http://www.roboxcha**********
   • http://www.fethar**********
   • http://www.asech**********
   • http://www.master-**********
   • http://www.color-ba**********
   • http://www.kavk**********
   • http://www.cruto**********
   • http://www.kidos-ban**********
   • http://www.parex-ban**********
   • http://www.adult-emp**********
   • http://www.konfisk**********
   • http://www.xware.cj**********
   • http://www.mazafa**********

En conséquence il peut envoyer de l'information et fournir d'accès à distance. Ceci est fait par l'intermédiaire de la requête HTTP GET du script PHP.


Il envoie de l'information au sujet de:
    • Le statut courant du malware


Capacités d'accès à distance:
    • Télécharger un fichier

 L'injection du code viral dans d'autres processus –  Il injecte le fichier suivant dans un processus: %sysdir%\%chaîne de caractères aléatoire%.exe

    Nom du processus :
   • explorer.exe

   Si le malware échoue, il continuera de fonctionner comme processus.
   En cas de succès, le processus malware se termine pendent que la partie injectée reste active.

 Informations divers Mutex:
Il crée les Mutex suivants:
   • u13i
   • u15
   • u19
   • uterm19
   • u12
   • u13
   • u14
   • u11
   • u18
   • u17
   • u8
   • u10
   • u16

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • UPX

Description insérée par Monica Ghitun le jeudi 8 novembre 2007
Description mise à jour par Monica Ghitun le vendredi 9 novembre 2007

Retour . . . .