English
Deutsch
Español
Italian
Home
Virus Info
Worm/Korgo.U
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
Worm/Korgo.U - Worm
это описание доступно в
Резюме
Подробное описание
Статистика
How would you rate this information?
Worthless
Excellent
Имя:
Worm/Korgo.U
Обнаружен:
24/06/2004
Вид:
Червь
В реальных условиях:
Да
Отмеченные факты заражения:
Низкий
Потенциал распространения:
Средний
Потенциал повреждений:
Средний
Файл статистики:
Да
Размер файла:
9.728 байт.
Контрольная сумма MD5:
e73c129128c47f948f25f8745ebada4c
Общее
Метод распространения:
• Локальная сеть
Псевдонимы (аliases):
• Symantec: W32.Korgo.V
• Mcafee: W32/Korgo.worm.v
• Kaspersky: Net-Worm.Win32.Padobot.m
• TrendMicro: WORM_KORGO.V
• F-Secure: Net-Worm.Win32.Padobot.m
• Sophos: W32/Korgo-T
• Grisoft: Worm/Padobot.V
• Eset: Win32/Korgo.V
• Bitdefender: Win32.Worm.Korgo.U
Операционные системы:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Последствия:
• Изменение реестра
• Использует уязвимость ПО
• Похищает информацию
• Позволяет несанкционированно подключиться к компьютеру
Файлы
Создается собственная копия:
•
%SYSDIR%
\
%случайная буквенная комбинация%
.exe
Удаляется следующий файл:
•
%SYSDIR%
\ftpupd.exe
Реестр
Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• Cryptographic Service="
%SYSDIR%
\
%случайная буквенная комбинация%
.exe"
Удаляются значения следующих ключей реестра:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• Windows Update
• MS Config v13
• avserve2.exeUpdate Service
• avserve.exe
• Windows Update Service
• WinUpdate
• SysTray
• Bot Loader
• System Restore Service
• Disk Defragmenter
• Windows Security Manager
– [HKLM\Software\Microsoft\Wireless]
• Client
Добавляется следующий ключ реестра:
– [HKLM\Software\Microsoft\Wireless]
• ID="puqwcckndpcvandicr"
• Client="1"
Сетевое инфицирование
Вредоносная программа пытается установить соединение с другим компьютером для целей дальнейшего распространения. Подробности приводятся далее.
Копия объекта помещается в следующую сетевой ресурс общего доступа:
• IPC$
Эксплойт:
Используется следующая брешь в безопасности:
–
MS04-011
(Уязвимость LSASS)
Генарация IP адресов:
Создаются случайные IP адреса. Первые два блока созданного IP адреса совпадают с реальным собственным. Осуществляется попытка установить соединение с этим адресом.
Процесс инфицирования:
Выбранный компьютер начинает скачивать вредоносные программы.
Загруженный файл сохраняется на удаленном компьютере в следующем виде: Xhttp://
%текущий IP адрес%
:
%открытый порт%
/
%случайная буквенная комбинация%
.exe
Снижение скорости:
– Есть вероятность незначительного уменьшения скорости. Причиной может явиться большое число запущенных процессов.
Backdoor
Открываются следующие порты:
–
%WINDIR%
\Explorer.EXE к произвольному TCP порту чтобы обеспечить наличие прокси-сервера.
–
%WINDIR%
\Explorer.EXE к произвольному TCP порту для обеспечения HTTP сервера.
Устанавливает соединение с сервером
Все последующие:
• http://www.citi-bank.ru/**********
• http://www.0AB1c**********
• http://www.redli**********
• http://www.filesea**********
• http://www.roboxcha**********
• http://www.fethar**********
• http://www.asech**********
• http://www.master-**********
• http://www.color-ba**********
• http://www.kavk**********
• http://www.cruto**********
• http://www.kidos-ban**********
• http://www.parex-ban**********
• http://www.adult-emp**********
• http://www.konfisk**********
• http://www.xware.cj**********
• http://www.mazafa**********
В результате может быть обеспечена пересылка информации и работа функции скрытого удаленного управления. Это происходит с помощью HTTP GET запроса PHP скрипта.
Передает информацию о:
• Текущий malware статус.
Возможности удаленного контроля:
• Загрузить файл
Инфицирование
– Следующий файл вставляется в процесс: %sysdir%\
%случайная буквенная комбинация%
.exe
Имя процесса:
• explorer.exe
При неудачном выполнении процесс вредоносной программы остется активным.
При успешном выполнении вредоносная программа завершается. Инфицированная часть остается при этом активной.
Разное
Мьютекс:
Создаются мьютексы:
• u13i
• u15
• u19
• uterm19
• u12
• u13
• u14
• u11
• u18
• u17
• u8
• u10
• u16
Данные файла
Язык программирования:
Программа была написана на MS Visual C++.
Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
• UPX
Краткое описание см.
здесь
.
Описание добавлено: Monica Ghitun Thu, 08 Nov 2007 12:51 (GMT+1)
Описание обновлено: Monica Ghitun Fri, 09 Nov 2007 11:32 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
TR/Crypt.CFI.Gen
Worm/Mytob.BQ
W32/Elkern.C
Worm/Klez.E
Worm/Mytob.AD
TR/Delf.Agent.ABC
TR/Agent.284658
TR/Dldr.Tiny.brm
Worm/Autorun.FY.1
JS/Dldr.Iframe.BM
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Virus Info Worm/Korgo.U
Print this page
.gif)
