Nome del virus:Worm/Korgo.F.var
Scoperto:28/10/2005
Tipo:Worm
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:Si
Dimensione del file:11.391 Byte
Somma di controllo MD5:ca47a36342c23f5c291ae4fc6d4f6416
Versione VDF:6.32.00.123

 Generale Metodo di propagazione:
   • Rete locale


Alias:
   •  Symantec: W32.Korgo.R
   •  Mcafee: W32/Korgo.worm.z
   •  Kaspersky: Net-Worm.Win32.Padobot.gen
   •  TrendMicro: WORM_KORGO.Z
   •  Grisoft: Worm/Padobot.AB
   •  VirusBuster: Worm.Korgo.Z
   •  Bitdefender: Win32.Worm.Korgo.Z


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Modifica del registro
   • Sfrutta la vulnerabilità del software
   • Accesso e controllo del computer da parte di terzi

 File Si copia alla seguente posizione:
   • %SYSDIR%\%stringa di caratteri casuale%.exe



Cancella il seguente file:
   • %directory di esecuzione del malware%\ftpupd.exe

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "System Update" = "%SYSDIR%\%stringa di caratteri casuale%.exe"



I valori delle seguenti chiavi di registro vengono rimossi:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • MS Config v13
   • avserve2.exeUpdate Service
   • avserve.exe
   • Windows Update Service
   • WinUpdate
   • SysTray
   • Bot Loader
   • System Restore Service
   • Disk Defragmenter
   • Windows Security Manager

–  [HKLM\Software\Microsoft\Wireless]
   • Client



Viene aggiunta la seguente chiave di registro:

– [HKLM\Software\Microsoft\Wireless]
   • "Client" = "1"
   • "ID" = "%stringa di caratteri casuale%"

 “Infezione” della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:


Exploit:
Sfrutta la seguente vulnerabilità:
– MS04-011 (LSASS Vulnerability)


Generazione dell'indirizzo IP:
Crea degli indirizzi IP casuali e prova a stabilire una connessione.


Processo virale:
Fa scaricare alla macchina compromessa il malware dal computer sorgente “infetto”.
Il file scaricato viene allocato nella macchina compromessa come: %SYSDIR%\%stringa di caratteri casuale%

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette ai seguenti server IRC:

Server: broadway.ny.us.**********
Porta: 6667
Password del server: %stringa di caratteri casuale%
Canale: #taty
Nickname: %stringa di caratteri casuale%_13

Server: brussels.be.eu.**********
Porta: 6667
Password del server: %stringa di caratteri casuale%
Canale: #taty
Nickname: %stringa di caratteri casuale%_13

Server: caen.fr.eu.**********
Porta: 6667
Password del server: %stringa di caratteri casuale%
Canale: #taty
Nickname: %stringa di caratteri casuale%_13

Server: ced.dal.**********
Porta: 6667
Password del server: %stringa di caratteri casuale%
Canale: #taty
Nickname: %stringa di caratteri casuale%_13

Server: coins.dal.**********
Porta: 6667
Password del server: %stringa di caratteri casuale%
Canale: #taty
Nickname: %stringa di caratteri casuale%_13

Server: diemen.nl.eu.**********
Porta: 6667
Password del server: %stringa di caratteri casuale%
Canale: #taty
Nickname: %stringa di caratteri casuale%_13

Server: flanders.be.eu.**********
Porta: 6667
Password del server: %stringa di caratteri casuale%
Canale: #taty
Nickname: %stringa di caratteri casuale%_13

Server: gaspode.zanet.**********
Porta: 6667
Password del server: %stringa di caratteri casuale%
Canale: #taty
Nickname: %stringa di caratteri casuale%_13

Server: graz.at.eu.**********
Porta: 6667
Password del server: %stringa di caratteri casuale%
Canale: #taty
Nickname: %stringa di caratteri casuale%_13

Server: lia.zanet.**********
Porta: 6667
Password del server: %stringa di caratteri casuale%
Canale: #taty
Nickname: %stringa di caratteri casuale%_13

Server: london.uk.eu.**********
Porta: 6667
Password del server: %stringa di caratteri casuale%
Canale: #taty
Nickname: %stringa di caratteri casuale%_13

Server: los-angeles.ca.us.**********
Porta: 6667
Password del server: %stringa di caratteri casuale%
Canale: #taty
Nickname: %stringa di caratteri casuale%_13

Server: lulea.se.eu.**********
Porta: 6667
Password del server: %stringa di caratteri casuale%
Canale: #taty
Nickname: %stringa di caratteri casuale%_13

Server: moscow-advokat.**********
Porta: 6667
Password del server: %stringa di caratteri casuale%
Canale: #taty
Nickname: %stringa di caratteri casuale%_13

Server: ozbytes.dal.**********
Porta: 6667
Password del server: %stringa di caratteri casuale%
Canale: #taty
Nickname: %stringa di caratteri casuale%_13

Server: qis.md.us.**********
Porta: 6667
Password del server: %stringa di caratteri casuale%
Canale: #taty
Nickname: %stringa di caratteri casuale%_13

Server: vancouver.**********
Porta: 6667
Password del server: %stringa di caratteri casuale%
Canale: #taty
Nickname: %stringa di caratteri casuale%_13

Server: viking.dal.**********
Porta: 6667
Password del server: %stringa di caratteri casuale%
Canale: #taty
Nickname: %stringa di caratteri casuale%_13

Server: washington.dc.us.**********
Porta: 6667
Password del server: %stringa di caratteri casuale%
Canale: #taty
Nickname: %stringa di caratteri casuale%_13

 Backdoor Le seguenti porte sono aperte:

– explorer.exe su una porta TCP casuale con lo scopo di procurarsi un server HTTP.
– explorer.exe sulla porta TCP 3067 con lo scopo di procurarsi delle possibili backdoor.

 Come il virus si inserisce nei processi – Si inserisce come thread remoto in un processo.

    Nome del processo:
   • explorer.exe

   Se il malware fallisce prosegue la sua esecuzione come processo.
   Se riuscito, il processo malware viene terminato mentre la parte inserita rimane attiva.

 Varie Mutex:
Crea i seguenti Mutex:
   • uterm13i
   • u14
   • u13i
   • u13
   • u12
   • u11
   • u10
   • u9
   • u8

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Iulia Diaconescu su martedì 4 aprile 2006
Descrizione aggiornata da Iulia Diaconescu su mercoledì 5 aprile 2006

Indietro . . . .