| Bezeichnung |
Name |
Typ |
| Korgo.P |
Win32.Worm.Korgo.P |
Ausführender Wurm |
| Schaden |
Entdeckt |
Ermittelt |
| Niedrig |
22.06.2004 |
22.06.2004 |
| Größe |
Verbreitung |
Noch unterwegs |
| 9343 bytes (gepackt mit UPX und verschlüsselt) |
Hoch |
Ja |
| Andere Namen |
| WORM_KORGO.P (Trend), W32/Korgo.P.worm (Panda) |
|
|
 |
Symptome :
|
Präsenz von [rand].exe im %system% (e.g. C:\Windows\System32) Ordner
und in der Prozessliste und Präsenz im Start-up Registry Key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".
[rand] kann jede Kombination von 5 bis 12 zufälligen Ziffern sein
in Kleinbuchstaben.
|
Technische Beschreibung:
|
Der Wurm verbreitet sich, indem er eine Schwäche im Microsoft Windows
LSASS Buffer Overrun (MS04-011) ausnutzt.
Beim Betrieb versucht er die Datei "ftpupd.exe" zu entfernen,
schafft den Mutex "uterm17", um zu verhindern, dass er gleichzeitig
zweimal ausgeführt wird und, wenn kein Fehler auftritt, richtet er
seine Sonderrechte ein.
Danach versucht er folgenden String aus dem Start-up Key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run"
zu entfernen:
Windows Security Manager
Disk Defragmenter
System Restore Service
Bot Loader
SysTray
WinUpdate
Windows Update Service
avserve.exe
avserve2.exeUpdate Service
MS Config v13
Zugleich versucht er, die Prozesse zu vernichten, die einen der oben
genannten Bezeichnungen in ihrem Namen enthalten.
Danach wird "HKLM\Software\Microsoft\Wireless" auf das Vorhandensein
eines "ID" String geprüft; wenn der nicht existiert, wird
er mit einem String mit 10 bis 20 zufälligen Ziffern initialisiert.
Dann sucht er nach dem "Windows Update" String im "HKLM\Software\Microsoft\Windows\CurrentVersion\Run"
Key und wenn der nicht existiert, schafft er diesen String, der auf eine
willkürlich gewählte Datei mit 5 to 12 Ziffern [rand].exe hinweist
und kopiert den Wurm nach "%system%\[rand].exe". In diesem Fall
setzt er auch den neuen String "Client" in "HKLM\Software\Microsoft\Wireless"
mit dem Wert "1" und führt die Kopie des Wurmes aus und
verlässt die aktuelle Instanz.
Nach der Selbstinstallation läuft er beim nächsten Start und
macht Folgendes:
- setzt die folgenden Events: u10x, u11x, u12x, u13x, u14x, u15x und u16x
- schafft die folgenden Mutexe: u8, u9, u10, u11, u12, u13, u13i, u14,
u15, u16 und u17
- schafft drei Threats, die zum Verbreiten und Update Check gebraucht
werden
- wählt einen beliebigen Port zwischen 257 und 8191, ausgeschlossen
alle Vielfachen von 256, auf dem er einen Pseudo HTTP Server schafft,
verwaltet von einem neuen Thread
- benutzt den HTTP Server, die erfolgreich eingeholten Exploits und er
führt eine Kopie des Wurmes aus
- die Verzögerung zwischen zwei Update Checks liegt willkürlich
zwischen 400.2 bis 700.2 Sekunden
- der Update Thread sucht beliebig auf folgendes Seiten nach Updates:
mazafaka.ru
xware.cjb.net
citi-bank.ru
konfiskat.org
adult-empire.com
parex-bank.ru
kidos-bank.ru
crutop.nu
kavkaz.tv
color-bank.ru
master-x.com
asechka.ru
fethard.biz
roboxchange.com
filesearch.ru
www.redline.ru
cvv.ru
|
Entfernung:
|
In unserer Bereich der free
Downloads haben wir eine Rubrik geschaffen für kostenlose Removal Tools. Hier
Win32.Worm.Korgo.P Removal Tool
suchen & downloaden oder hier
zum Forum um Hilfe zu bekommen
[ Zurück zum Anfang ]
|
|
 |
aktuelle Viren
Meldungen |
|
|
|
weitere Dienste |
|
|
|
