THEMEN

AntiVirus

Win32.Worm.Korgo.R - Virensignatur


A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z
Bezeichnung Name Typ
 Korgo.R  Win32.Worm.Korgo.R  
Schaden Entdeckt Ermittelt
 Niedrig  23.06.2004  23.06.2004
Größe Verbreitung Noch unterwegs
 9344 (UPX gepackt und verschlüsselt)  Mittel  Unbekannt
Andere Namen
 Win32 Korgo Familie
anderen Virus suchen:

Viren-Entfernung Anleitung
Viren-Removaltools
Frage im Forum stellen

RSS     

Symptome :
Präsenz der folgenden Dateien im %SYSTEM% Ordner:

%random%.exe (9,344 bytes)

- Präsenz des folgenden Registry Key, der auf die o.g. Datei hinweist:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \CurrentVersion\ Run\"Windows Update"="%SYSTEM%\%random%.exe"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Wireless\"ID"="%random2%"]

wo
%random% ein String aus 5 bis 12 zufälligen Buchstaben ist
%random2% ein String aus 10 bis 20 zufälligen Buchstaben ist

%WINDOWS% weist auf den Windows Ordner (oder WinNT bei Windows NT Systemen)
%SYSTEM% weist auf den "System" Ordner bei Windows 9x Systemen und "System32" Ordner bei WinNT Systemen.

Technische Beschreibung:
Der Wurm verbreitet sich, indem er eine Microsoft Windows LSASS Buffer Overrun Schwäche (MS04-011) ausnutzt.

Diese Version ist ein geringfügiger Update von Win32.Worm.Korgo.P

Einmal gestartet macht der Virus Folgendes:

Er versucht die Datei "ftpupd.exe" zu vernichten, schafft den Mutex "uterm18", um eine doppelte Ausführung zu verhindern, und , wenn kein Fehler auftritt, richtet er seine erlangten Vorrechte ein:

Danach versucht er folgende Entries aus dem Start-up Key zu löschen:

"HKLM\Software\Microsoft\Windows\CurrentVersion\Run":

Windows Security Manager
Disk Defragmenter
System Restore Service
Bot Loader
SysTray
WinUpdate
Windows Update Service
avserve.exe
avserve2.exeUpdate Service
MS Config v13

Gleichzeitig versucht er alle Prozesse zu stoppen, die einen der oben genannten Strings in ihrem Namen enthalten.

Danach wird "HKLM\Software\Microsoft\Wireless" auf die Präsenz eines "ID" String geprüft; wenn keiner existiert, wird er initialisiert mit einem String aus 13 bis 20 zufälligen Ziffern.

Dann sucht er nach dem "Windows Update" String im "HKLM\Software\Microsoft\Windows\ CurrentVersion\Run" Key und wenn der nicht existiert, schafft er den Strin, der auf eine willkürlich geschaffene Datei, bestehend aus 5 bis 12 Ziffern [rand].exe und kopiert den Wurm nach "%system%\[rand].exe". In diesem Fall setzt er auch einen neuen String "Client" in "HKLM\Software\Microsoft\Wireless" mit dem Wert "1" und führt schließlich die Kopie des Wurmes aus und verlässt die aktuelle Instanz.

Beim nächsten Start versucht der Wurm Folgendes:

- versucht folgende Events zu veranlassen: u10x, u11x, u12x, u13x, u14x, u15x, u16x, u17x und u18x
- schafft folgende Mutexe: u8, u9, u10, u11, u12, u13, u13i, u14, u15, u16, u17 und u18
- schafft drei Threats, die zum Verbreiten und Update Check gebraucht werden
- wählt einen beliebigen Port zwischen 257 und 8191, ausgeschlossen alle Vervielfachungen von 256, auf dem er einen Pseudo HTTP Server schafft, der von einem neuen Thread verwaltet wird
- benutzt den HTTP Server, die erfolgreich eingeholten Exploits und führt die Kopie des Wurmes aus
- die Verzögerung zwischen zwei Update Checks liegt willkürlich zwischen 400.2 bis 700.2 Sekunden
- der Update Thread sucht beliebig auf folgendes Seiten nach Updates:

mazafaka.ru
xware.cjb.net
citi-bank.ru
konfiskat.org
adult-empire.com
parex-bank.ru
kidos-bank.ru
crutop.nu
kavkaz.tv
color-bank.ru
master-x.com
asechka.ru
fethard.biz
roboxchange.com
filesearch.ru
www.redline.ru
cvv.ru

Der Wurm hindert das System am Abschalten, indem er einen Loop betreibt, der alle 5 Sekunden die Systemfunktion Runterfahren beendet.

Entfernung:
In unserer Bereich der free Downloads haben wir eine Rubrik geschaffen für kostenlose Removal Tools. Hier
Win32.Worm.Korgo.R Removal Tool suchen & downloaden oder hier
zum Forum um Hilfe zu bekommen

[ Zurück zum Anfang ]

>> AntiVirus Lexikon
antivirus_lexikon_logo
8x8
  aktuelle Viren Meldungen
8x8
  weitere Dienste
An dieser Stelle bieten wir kostenlose Zusatzdienste zur Virenentfernung an, wie z.B:
Portscanner
der Portscanner dient dazu Ihre Firewall zu testen
Spyware-Scanner
Zeigt Ihnen kostenlos Schwachstellen auf Ihren PC.
Removal Tools
Zur Entfernung von Viren haben wir hier die kostenlose Downloadrubrik der Viren-Removaltools.