Имя:Worm/Korgo.U
Обнаружен:24/06/2004
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:Средний
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:9.728 байт.
Контрольная сумма MD5:e73c129128c47f948f25f8745ebada4c

 Общее Метод распространения:
   • Локальная сеть


Псевдонимы (аliases):
   •  Symantec: W32.Korgo.V
   •  Mcafee: W32/Korgo.worm.v
   •  Kaspersky: Net-Worm.Win32.Padobot.m
   •  TrendMicro: WORM_KORGO.V
   •  F-Secure: Net-Worm.Win32.Padobot.m
   •  Sophos: W32/Korgo-T
   •  Grisoft: Worm/Padobot.V
   •  Eset: Win32/Korgo.V
   •  Bitdefender: Win32.Worm.Korgo.U


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Изменение реестра
   • Использует уязвимость ПО
   • Похищает информацию
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создается собственная копия:
   • %SYSDIR%\%случайная буквенная комбинация%.exe



Удаляется следующий файл:
   • %SYSDIR%\ftpupd.exe

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Cryptographic Service="%SYSDIR%\%случайная буквенная комбинация%.exe"



Удаляются значения следующих ключей реестра:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Windows Update
   • MS Config v13
   • avserve2.exeUpdate Service
   • avserve.exe
   • Windows Update Service
   • WinUpdate
   • SysTray
   • Bot Loader
   • System Restore Service
   • Disk Defragmenter
   • Windows Security Manager

–  [HKLM\Software\Microsoft\Wireless]
   • Client



Добавляется следующий ключ реестра:

– [HKLM\Software\Microsoft\Wireless]
   • ID="puqwcckndpcvandicr"
   • Client="1"

 Сетевое инфицирование Вредоносная программа пытается установить соединение с другим компьютером для целей дальнейшего распространения. Подробности приводятся далее.

Копия объекта помещается в следующую сетевой ресурс общего доступа:
   • IPC$


Эксплойт:
Используется следующая брешь в безопасности:
– MS04-011 (Уязвимость LSASS)


Генарация IP адресов:
Создаются случайные IP адреса. Первые два блока созданного IP адреса совпадают с реальным собственным. Осуществляется попытка установить соединение с этим адресом.


Процесс инфицирования:
Выбранный компьютер начинает скачивать вредоносные программы.
Загруженный файл сохраняется на удаленном компьютере в следующем виде: Xhttp://%текущий IP адрес%:%открытый порт%/%случайная буквенная комбинация%.exe


Снижение скорости:
– Есть вероятность незначительного уменьшения скорости. Причиной может явиться большое число запущенных процессов.

 Backdoor Открываются следующие порты:

%WINDIR%\Explorer.EXE к произвольному TCP порту чтобы обеспечить наличие прокси-сервера.
%WINDIR%\Explorer.EXE к произвольному TCP порту для обеспечения HTTP сервера.


Устанавливает соединение с сервером
Все последующие:
   • http://www.citi-bank.ru/**********
   • http://www.0AB1c**********
   • http://www.redli**********
   • http://www.filesea**********
   • http://www.roboxcha**********
   • http://www.fethar**********
   • http://www.asech**********
   • http://www.master-**********
   • http://www.color-ba**********
   • http://www.kavk**********
   • http://www.cruto**********
   • http://www.kidos-ban**********
   • http://www.parex-ban**********
   • http://www.adult-emp**********
   • http://www.konfisk**********
   • http://www.xware.cj**********
   • http://www.mazafa**********

В результате может быть обеспечена пересылка информации и работа функции скрытого удаленного управления. Это происходит с помощью HTTP GET запроса PHP скрипта.


Передает информацию о:
    • Текущий malware статус.


Возможности удаленного контроля:
    • Загрузить файл

 Инфицирование –  Следующий файл вставляется в процесс: %sysdir%\%случайная буквенная комбинация%.exe

    Имя процесса:
   • explorer.exe

   При неудачном выполнении процесс вредоносной программы остется активным.
   При успешном выполнении вредоносная программа завершается. Инфицированная часть остается при этом активной.

 Разное Мьютекс:
Создаются мьютексы:
   • u13i
   • u15
   • u19
   • uterm19
   • u12
   • u13
   • u14
   • u11
   • u18
   • u17
   • u8
   • u10
   • u16

 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • UPX

Описание добавил Monica Ghitun в(о) четверг, 8 ноября 2007 г.
Описание обновил Monica Ghitun в(о) пятница, 9 ноября 2007 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.