Имя:Worm/Korgo.F.var
Обнаружен:28/10/2005
Вид:Червь
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Средний
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:11.391 байт.
Контрольная сумма MD5:ca47a36342c23f5c291ae4fc6d4f6416
Версия VDF:6.32.00.123

 Общее Метод распространения:
   • Локальная сеть


Псевдонимы (аliases):
   •  Symantec: W32.Korgo.R
   •  Mcafee: W32/Korgo.worm.z
   •  Kaspersky: Net-Worm.Win32.Padobot.gen
   •  TrendMicro: WORM_KORGO.Z
   •  Grisoft: Worm/Padobot.AB
   •  VirusBuster: Worm.Korgo.Z
   •  Bitdefender: Win32.Worm.Korgo.Z


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Изменение реестра
   • Использует уязвимость ПО
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создается собственная копия:
   • %SYSDIR%\%случайная буквенная комбинация%.exe



Удаляется следующий файл:
   • %Рабочая папка вредоносной программы%\ftpupd.exe

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "System Update" = "%SYSDIR%\%случайная буквенная комбинация%.exe"



Удаляются значения следующих ключей реестра:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • MS Config v13
   • avserve2.exeUpdate Service
   • avserve.exe
   • Windows Update Service
   • WinUpdate
   • SysTray
   • Bot Loader
   • System Restore Service
   • Disk Defragmenter
   • Windows Security Manager

–  [HKLM\Software\Microsoft\Wireless]
   • Client



Добавляется следующий ключ реестра:

– [HKLM\Software\Microsoft\Wireless]
   • "Client" = "1"
   • "ID" = "%случайная буквенная комбинация%"

 Сетевое инфицирование Вредоносная программа пытается установить соединение с другим компьютером для целей дальнейшего распространения. Подробности приводятся далее.


Эксплойт:
Используется следующая брешь в безопасности:
– MS04-011 (Уязвимость LSASS)


Генарация IP адресов:
Создаются случайные IP адреса и производится попытка установить соединение с этим адресом.


Процесс инфицирования:
Выбранный компьютер начинает скачивать вредоносные программы.
Загруженный файл сохраняется на удаленном компьютере в следующем виде: %SYSDIR%\%случайная буквенная комбинация%

 IRC Для передачи информации о системе и обеспечения удаленного управления устанавливаются соединения со следующими IRC серверами:

Сервер: broadway.ny.us.**********
Порт: 6667
Пароль сервера: %случайная буквенная комбинация%
Канал: #taty
Имя: %случайная буквенная комбинация%_13

Сервер: brussels.be.eu.**********
Порт: 6667
Пароль сервера: %случайная буквенная комбинация%
Канал: #taty
Имя: %случайная буквенная комбинация%_13

Сервер: caen.fr.eu.**********
Порт: 6667
Пароль сервера: %случайная буквенная комбинация%
Канал: #taty
Имя: %случайная буквенная комбинация%_13

Сервер: ced.dal.**********
Порт: 6667
Пароль сервера: %случайная буквенная комбинация%
Канал: #taty
Имя: %случайная буквенная комбинация%_13

Сервер: coins.dal.**********
Порт: 6667
Пароль сервера: %случайная буквенная комбинация%
Канал: #taty
Имя: %случайная буквенная комбинация%_13

Сервер: diemen.nl.eu.**********
Порт: 6667
Пароль сервера: %случайная буквенная комбинация%
Канал: #taty
Имя: %случайная буквенная комбинация%_13

Сервер: flanders.be.eu.**********
Порт: 6667
Пароль сервера: %случайная буквенная комбинация%
Канал: #taty
Имя: %случайная буквенная комбинация%_13

Сервер: gaspode.zanet.**********
Порт: 6667
Пароль сервера: %случайная буквенная комбинация%
Канал: #taty
Имя: %случайная буквенная комбинация%_13

Сервер: graz.at.eu.**********
Порт: 6667
Пароль сервера: %случайная буквенная комбинация%
Канал: #taty
Имя: %случайная буквенная комбинация%_13

Сервер: lia.zanet.**********
Порт: 6667
Пароль сервера: %случайная буквенная комбинация%
Канал: #taty
Имя: %случайная буквенная комбинация%_13

Сервер: london.uk.eu.**********
Порт: 6667
Пароль сервера: %случайная буквенная комбинация%
Канал: #taty
Имя: %случайная буквенная комбинация%_13

Сервер: los-angeles.ca.us.**********
Порт: 6667
Пароль сервера: %случайная буквенная комбинация%
Канал: #taty
Имя: %случайная буквенная комбинация%_13

Сервер: lulea.se.eu.**********
Порт: 6667
Пароль сервера: %случайная буквенная комбинация%
Канал: #taty
Имя: %случайная буквенная комбинация%_13

Сервер: moscow-advokat.**********
Порт: 6667
Пароль сервера: %случайная буквенная комбинация%
Канал: #taty
Имя: %случайная буквенная комбинация%_13

Сервер: ozbytes.dal.**********
Порт: 6667
Пароль сервера: %случайная буквенная комбинация%
Канал: #taty
Имя: %случайная буквенная комбинация%_13

Сервер: qis.md.us.**********
Порт: 6667
Пароль сервера: %случайная буквенная комбинация%
Канал: #taty
Имя: %случайная буквенная комбинация%_13

Сервер: vancouver.**********
Порт: 6667
Пароль сервера: %случайная буквенная комбинация%
Канал: #taty
Имя: %случайная буквенная комбинация%_13

Сервер: viking.dal.**********
Порт: 6667
Пароль сервера: %случайная буквенная комбинация%
Канал: #taty
Имя: %случайная буквенная комбинация%_13

Сервер: washington.dc.us.**********
Порт: 6667
Пароль сервера: %случайная буквенная комбинация%
Канал: #taty
Имя: %случайная буквенная комбинация%_13

 Backdoor Открываются следующие порты:

– explorer.exe к произвольному TCP порту для обеспечения HTTP сервера.
– explorer.exe по TCP порту 3067 для обеспечения backdoor функции.

 Инфицирование – Вставляется в процесс в качестве удаленного программного потока.

    Имя процесса:
   • explorer.exe

   При неудачном выполнении процесс вредоносной программы остется активным.
   При успешном выполнении вредоносная программа завершается. Инфицированная часть остается при этом активной.

 Разное Мьютекс:
Создаются мьютексы:
   • uterm13i
   • u14
   • u13i
   • u13
   • u12
   • u11
   • u10
   • u9
   • u8

 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Iulia Diaconescu в(о) вторник, 4 апреля 2006 г.
Описание обновил Iulia Diaconescu в(о) среда, 5 апреля 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.