Worm/Korgo.F.var - Worm

Vedi anche

In breve

Descrizione completa

Statistiche

Nome del virus:	Worm/Korgo.F.var
Scoperto:	28/10/2005
Tipo:	Worm
In circolazione (ITW):	No
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Medio
Potenziale di danni:	Medio
File statico:	Si
Dimensione del file:	11.391 Byte
Somma di controllo MD5:	ca47a36342c23f5c291ae4fc6d4f6416
Versione VDF:	6.32.00.123

Generale Metodo di propagazione:
   • Rete locale

Alias:
   • Symantec: W32.Korgo.R
   • Mcafee: W32/Korgo.worm.z
   • Kaspersky: Net-Worm.Win32.Padobot.gen
   • TrendMicro: WORM_KORGO.Z
   • Grisoft: Worm/Padobot.AB
   • VirusBuster: Worm.Korgo.Z
   • Bitdefender: Win32.Worm.Korgo.Z

Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Modifica del registro
   • Sfrutta la vulnerabilità del software
   • Accesso e controllo del computer da parte di terzi

File Si copia alla seguente posizione:
• %SYSDIR%\%stringa di caratteri casuale%.exe

Cancella il seguente file:
• %directory di esecuzione del malware%\ftpupd.exe

Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "System Update" = "%SYSDIR%\%stringa di caratteri casuale%.exe"

I valori delle seguenti chiavi di registro vengono rimossi:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • MS Config v13
   • avserve2.exeUpdate Service
   • avserve.exe
   • Windows Update Service
   • WinUpdate
   • SysTray
   • Bot Loader
   • System Restore Service
   • Disk Defragmenter
   • Windows Security Manager

– [HKLM\Software\Microsoft\Wireless]
   • Client

Viene aggiunta la seguente chiave di registro:

– [HKLM\Software\Microsoft\Wireless]
   • "Client" = "1"
   • "ID" = "%stringa di caratteri casuale%"

“Infezione” della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:

Exploit:
Sfrutta la seguente vulnerabilità:
– MS04-011 (LSASS Vulnerability)

Generazione dell'indirizzo IP:
Crea degli indirizzi IP casuali e prova a stabilire una connessione.

Processo virale:
Fa scaricare alla macchina compromessa il malware dal computer sorgente “infetto”.
Il file scaricato viene allocato nella macchina compromessa come: %SYSDIR%\%stringa di caratteri casuale%

IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette ai seguenti server IRC:

Server: broadway.ny.us.**********
Porta: 6667
Password del server: %stringa di caratteri casuale%
Canale: #taty
Nickname: %stringa di caratteri casuale%_13

Server: brussels.be.eu.**********
Porta: 6667
Password del server: %stringa di caratteri casuale%
Canale: #taty
Nickname: %stringa di caratteri casuale%_13

Server: caen.fr.eu.**********
Porta: 6667
Password del server: %stringa di caratteri casuale%
Canale: #taty
Nickname: %stringa di caratteri casuale%_13

Server: ced.dal.**********
Porta: 6667
Password del server: %stringa di caratteri casuale%
Canale: #taty
Nickname: %stringa di caratteri casuale%_13

Server: coins.dal.**********
Porta: 6667
Password del server: %stringa di caratteri casuale%
Canale: #taty
Nickname: %stringa di caratteri casuale%_13

Server: diemen.nl.eu.**********
Porta: 6667
Password del server: %stringa di caratteri casuale%
Canale: #taty
Nickname: %stringa di caratteri casuale%_13

Server: flanders.be.eu.**********
Porta: 6667
Password del server: %stringa di caratteri casuale%
Canale: #taty
Nickname: %stringa di caratteri casuale%_13

Server: gaspode.zanet.**********
Porta: 6667
Password del server: %stringa di caratteri casuale%
Canale: #taty
Nickname: %stringa di caratteri casuale%_13

Server: graz.at.eu.**********
Porta: 6667
Password del server: %stringa di caratteri casuale%
Canale: #taty
Nickname: %stringa di caratteri casuale%_13

Server: lia.zanet.**********
Porta: 6667
Password del server: %stringa di caratteri casuale%
Canale: #taty
Nickname: %stringa di caratteri casuale%_13

Server: london.uk.eu.**********
Porta: 6667
Password del server: %stringa di caratteri casuale%
Canale: #taty
Nickname: %stringa di caratteri casuale%_13

Server: los-angeles.ca.us.**********
Porta: 6667
Password del server: %stringa di caratteri casuale%
Canale: #taty
Nickname: %stringa di caratteri casuale%_13

Server: lulea.se.eu.**********
Porta: 6667
Password del server: %stringa di caratteri casuale%
Canale: #taty
Nickname: %stringa di caratteri casuale%_13

Server: moscow-advokat.**********
Porta: 6667
Password del server: %stringa di caratteri casuale%
Canale: #taty
Nickname: %stringa di caratteri casuale%_13

Server: ozbytes.dal.**********
Porta: 6667
Password del server: %stringa di caratteri casuale%
Canale: #taty
Nickname: %stringa di caratteri casuale%_13

Server: qis.md.us.**********
Porta: 6667
Password del server: %stringa di caratteri casuale%
Canale: #taty
Nickname: %stringa di caratteri casuale%_13

Server: vancouver.**********
Porta: 6667
Password del server: %stringa di caratteri casuale%
Canale: #taty
Nickname: %stringa di caratteri casuale%_13

Server: viking.dal.**********
Porta: 6667
Password del server: %stringa di caratteri casuale%
Canale: #taty
Nickname: %stringa di caratteri casuale%_13

Server: washington.dc.us.**********
Porta: 6667
Password del server: %stringa di caratteri casuale%
Canale: #taty
Nickname: %stringa di caratteri casuale%_13

Backdoor Le seguenti porte sono aperte:

– explorer.exe su una porta TCP casuale con lo scopo di procurarsi un server HTTP.
– explorer.exe sulla porta TCP 3067 con lo scopo di procurarsi delle possibili backdoor.

Come il virus si inserisce nei processi – Si inserisce come thread remoto in un processo.

    Nome del processo:
   • explorer.exe

   Se il malware fallisce prosegue la sua esecuzione come processo.
   Se riuscito, il processo malware viene terminato mentre la parte inserita rimane attiva.

Varie Mutex:
Crea i seguenti Mutex:
   • uterm13i
   • u14
   • u13i
   • u13
   • u12
   • u11
   • u10
   • u9
   • u8

Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.

Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Iulia Diaconescu il Tue, 04 Apr 2006 15:13 (GMT+1)
Descrizione aggiornata da Iulia Diaconescu il Wed, 05 Apr 2006 10:53 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back