English
Deutsch
Español
Italian
Home
Virus Info
Worm/Korgo.F.var
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
Worm/Korgo.F.var - Worm
это описание доступно в
Резюме
Подробное описание
Статистика
How would you rate this information?
Worthless
Excellent
Имя:
Worm/Korgo.F.var
Обнаружен:
28/10/2005
Вид:
Червь
В реальных условиях:
Нет
Отмеченные факты заражения:
Низкий
Потенциал распространения:
Средний
Потенциал повреждений:
Средний
Файл статистики:
Да
Размер файла:
11.391 байт.
Контрольная сумма MD5:
ca47a36342c23f5c291ae4fc6d4f6416
Версия VDF:
6.32.00.123
Общее
Метод распространения:
• Локальная сеть
Псевдонимы (аliases):
• Symantec: W32.Korgo.R
• Mcafee: W32/Korgo.worm.z
• Kaspersky: Net-Worm.Win32.Padobot.gen
• TrendMicro: WORM_KORGO.Z
• Grisoft: Worm/Padobot.AB
• VirusBuster: Worm.Korgo.Z
• Bitdefender: Win32.Worm.Korgo.Z
Операционные системы:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Последствия:
• Изменение реестра
• Использует уязвимость ПО
• Позволяет несанкционированно подключиться к компьютеру
Файлы
Создается собственная копия:
•
%SYSDIR%
\
%случайная буквенная комбинация%
.exe
Удаляется следующий файл:
•
%Рабочая папка вредоносной программы%
\ftpupd.exe
Реестр
Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "System Update" = "
%SYSDIR%
\
%случайная буквенная комбинация%
.exe"
Удаляются значения следующих ключей реестра:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• MS Config v13
• avserve2.exeUpdate Service
• avserve.exe
• Windows Update Service
• WinUpdate
• SysTray
• Bot Loader
• System Restore Service
• Disk Defragmenter
• Windows Security Manager
– [HKLM\Software\Microsoft\Wireless]
• Client
Добавляется следующий ключ реестра:
– [HKLM\Software\Microsoft\Wireless]
• "Client" = "1"
• "ID" = "
%случайная буквенная комбинация%
"
Сетевое инфицирование
Вредоносная программа пытается установить соединение с другим компьютером для целей дальнейшего распространения. Подробности приводятся далее.
Эксплойт:
Используется следующая брешь в безопасности:
–
MS04-011
(Уязвимость LSASS)
Генарация IP адресов:
Создаются случайные IP адреса и производится попытка установить соединение с этим адресом.
Процесс инфицирования:
Выбранный компьютер начинает скачивать вредоносные программы.
Загруженный файл сохраняется на удаленном компьютере в следующем виде:
%SYSDIR%
\
%случайная буквенная комбинация%
IRC
Для передачи информации о системе и обеспечения удаленного управления устанавливаются соединения со следующими IRC серверами:
Сервер: broadway.ny.us.**********
Порт: 6667
Пароль сервера:
%случайная буквенная комбинация%
Канал: #taty
Имя:
%случайная буквенная комбинация%
_13
Сервер: brussels.be.eu.**********
Порт: 6667
Пароль сервера:
%случайная буквенная комбинация%
Канал: #taty
Имя:
%случайная буквенная комбинация%
_13
Сервер: caen.fr.eu.**********
Порт: 6667
Пароль сервера:
%случайная буквенная комбинация%
Канал: #taty
Имя:
%случайная буквенная комбинация%
_13
Сервер: ced.dal.**********
Порт: 6667
Пароль сервера:
%случайная буквенная комбинация%
Канал: #taty
Имя:
%случайная буквенная комбинация%
_13
Сервер: coins.dal.**********
Порт: 6667
Пароль сервера:
%случайная буквенная комбинация%
Канал: #taty
Имя:
%случайная буквенная комбинация%
_13
Сервер: diemen.nl.eu.**********
Порт: 6667
Пароль сервера:
%случайная буквенная комбинация%
Канал: #taty
Имя:
%случайная буквенная комбинация%
_13
Сервер: flanders.be.eu.**********
Порт: 6667
Пароль сервера:
%случайная буквенная комбинация%
Канал: #taty
Имя:
%случайная буквенная комбинация%
_13
Сервер: gaspode.zanet.**********
Порт: 6667
Пароль сервера:
%случайная буквенная комбинация%
Канал: #taty
Имя:
%случайная буквенная комбинация%
_13
Сервер: graz.at.eu.**********
Порт: 6667
Пароль сервера:
%случайная буквенная комбинация%
Канал: #taty
Имя:
%случайная буквенная комбинация%
_13
Сервер: lia.zanet.**********
Порт: 6667
Пароль сервера:
%случайная буквенная комбинация%
Канал: #taty
Имя:
%случайная буквенная комбинация%
_13
Сервер: london.uk.eu.**********
Порт: 6667
Пароль сервера:
%случайная буквенная комбинация%
Канал: #taty
Имя:
%случайная буквенная комбинация%
_13
Сервер: los-angeles.ca.us.**********
Порт: 6667
Пароль сервера:
%случайная буквенная комбинация%
Канал: #taty
Имя:
%случайная буквенная комбинация%
_13
Сервер: lulea.se.eu.**********
Порт: 6667
Пароль сервера:
%случайная буквенная комбинация%
Канал: #taty
Имя:
%случайная буквенная комбинация%
_13
Сервер: moscow-advokat.**********
Порт: 6667
Пароль сервера:
%случайная буквенная комбинация%
Канал: #taty
Имя:
%случайная буквенная комбинация%
_13
Сервер: ozbytes.dal.**********
Порт: 6667
Пароль сервера:
%случайная буквенная комбинация%
Канал: #taty
Имя:
%случайная буквенная комбинация%
_13
Сервер: qis.md.us.**********
Порт: 6667
Пароль сервера:
%случайная буквенная комбинация%
Канал: #taty
Имя:
%случайная буквенная комбинация%
_13
Сервер: vancouver.**********
Порт: 6667
Пароль сервера:
%случайная буквенная комбинация%
Канал: #taty
Имя:
%случайная буквенная комбинация%
_13
Сервер: viking.dal.**********
Порт: 6667
Пароль сервера:
%случайная буквенная комбинация%
Канал: #taty
Имя:
%случайная буквенная комбинация%
_13
Сервер: washington.dc.us.**********
Порт: 6667
Пароль сервера:
%случайная буквенная комбинация%
Канал: #taty
Имя:
%случайная буквенная комбинация%
_13
Backdoor
Открываются следующие порты:
– explorer.exe к произвольному TCP порту для обеспечения HTTP сервера.
– explorer.exe по TCP порту 3067 для обеспечения backdoor функции.
Инфицирование
– Вставляется в процесс в качестве удаленного программного потока.
Имя процесса:
• explorer.exe
При неудачном выполнении процесс вредоносной программы остется активным.
При успешном выполнении вредоносная программа завершается. Инфицированная часть остается при этом активной.
Разное
Мьютекс:
Создаются мьютексы:
• uterm13i
• u14
• u13i
• u13
• u12
• u11
• u10
• u9
• u8
Данные файла
Язык программирования:
Программа была написана на MS Visual C++.
Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
Краткое описание см.
здесь
.
Описание добавлено: Iulia Diaconescu Tue, 04 Apr 2006 15:13 (GMT+1)
Описание обновлено: Iulia Diaconescu Wed, 05 Apr 2006 10:53 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
W32/Elkern.C
TR/Crypt.CFI.Gen
Worm/KillAV.GR
Worm/Mytob.AP
Worm/Mytob.AT
TR/Crypt.PEPM.Gen
TR/Vundo.ewz.9
TR/Monderb.318720
Worm/IrcBot.39673.1
TR/PSW.Steam.DU
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Virus Info Worm/Korgo.F.var
Print this page
.gif)
