Nome del virus:Worm/Korgo.U
Scoperto:24/06/2004
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:Si
Dimensione del file:9.728 Byte
Somma di controllo MD5:e73c129128c47f948f25f8745ebada4c

 Generale Metodo di propagazione:
   • Rete locale


Alias:
   •  Symantec: W32.Korgo.V
   •  Mcafee: W32/Korgo.worm.v
   •  Kaspersky: Net-Worm.Win32.Padobot.m
   •  TrendMicro: WORM_KORGO.V
   •  F-Secure: Net-Worm.Win32.Padobot.m
   •  Sophos: W32/Korgo-T
   •  Grisoft: Worm/Padobot.V
   •  Eset: Win32/Korgo.V
   •  Bitdefender: Win32.Worm.Korgo.U


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Modifica del registro
   • Sfrutta la vulnerabilità del software
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

 File Si copia alla seguente posizione:
   • %SYSDIR%\%stringa di caratteri casuale%.exe



Cancella il seguente file:
   • %SYSDIR%\ftpupd.exe

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Cryptographic Service="%SYSDIR%\%stringa di caratteri casuale%.exe"



I valori delle seguenti chiavi di registro vengono rimossi:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Windows Update
   • MS Config v13
   • avserve2.exeUpdate Service
   • avserve.exe
   • Windows Update Service
   • WinUpdate
   • SysTray
   • Bot Loader
   • System Restore Service
   • Disk Defragmenter
   • Windows Security Manager

–  [HKLM\Software\Microsoft\Wireless]
   • Client



Viene aggiunta la seguente chiave di registro:

– [HKLM\Software\Microsoft\Wireless]
   • ID="puqwcckndpcvandicr"
   • Client="1"

 “Infezione” della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:

Fa una copia di se stesso nella seguente condivisione di rete:
   • IPC$


Exploit:
Sfrutta la seguente vulnerabilità:
– MS04-011 (LSASS Vulnerability)


Generazione dell'indirizzo IP:
Crea degli indirizzi IP casuali mentre mantiene i primi due ottetti dal proprio indirizzo. In seguito prova a stabilire una connessione con gli indirizzi creati.


Processo virale:
Fa scaricare alla macchina compromessa il malware dal computer sorgente “infetto”.
Il file scaricato viene allocato nella macchina compromessa come: Xhttp://%indirizzo IP corrente%:%porta aperta%/%stringa di caratteri casuale%.exe


Rallentamento:
– Inoltre si potrebbe notare un leggero rallentamento dovuto ai multipli thread di rete creati.

 Backdoor Le seguenti porte sono aperte:

%WINDIR%\Explorer.EXE su una porta TCP casuale con lo scopo di procurarsi un server proxy.
%WINDIR%\Explorer.EXE su una porta TCP casuale con lo scopo di procurarsi un server HTTP.


Contatta il server:
Tutti i seguenti:
   • http://www.citi-bank.ru/**********
   • http://www.0AB1c**********
   • http://www.redli**********
   • http://www.filesea**********
   • http://www.roboxcha**********
   • http://www.fethar**********
   • http://www.asech**********
   • http://www.master-**********
   • http://www.color-ba**********
   • http://www.kavk**********
   • http://www.cruto**********
   • http://www.kidos-ban**********
   • http://www.parex-ban**********
   • http://www.adult-emp**********
   • http://www.konfisk**********
   • http://www.xware.cj**********
   • http://www.mazafa**********

Come risultato può inviare informazioni e potrebbe venire fornito il controllo remoto. Questo viene fatto tramite la richiesta HTTP GET in uno script PHP.


Invia informazioni riguardanti:
    • Stato corrente del malware


Capacità di controllo remoto:
    • Download di file

 Come il virus si inserisce nei processi –  Inserisce il seguente file in un processo: %sysdir%\%stringa di caratteri casuale%.exe

    Nome del processo:
   • explorer.exe

   Se il malware fallisce prosegue la sua esecuzione come processo.
   Se riuscito, il processo malware viene terminato mentre la parte inserita rimane attiva.

 Varie Mutex:
Crea i seguenti Mutex:
   • u13i
   • u15
   • u19
   • uterm19
   • u12
   • u13
   • u14
   • u11
   • u18
   • u17
   • u8
   • u10
   • u16

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • UPX

Descrizione inserita da Monica Ghitun su giovedì 8 novembre 2007
Descrizione aggiornata da Monica Ghitun su venerdì 9 novembre 2007

Indietro . . . .