| Bezeichnung |
Name |
Typ |
| Korgo.C |
Win32.Worm.Korgo.C |
Ausführender Wurm Backdoor |
| Schaden |
Entdeckt |
Ermittelt |
| Mittel |
26.05.2004 |
26.05.2004 |
| Größe |
Verbreitung |
Noch unterwegs |
| 10240 bytes |
Mittel |
Ja |
| Andere Namen |
| Win32/Korgo.C.worm |
|
|
 |
Symptome :
|
Präsenz folgender Dateien im %SYSTEM% Ordner:
eine neugeschaffenen exe Datei aus 8 unterschiedlichen Ziffern wie z.B.: ABCDEFGH.exe
Präsenz der folgenden Registry Keys:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionRun"SysTray"="%SYSTEM%????????.exe"
???????? ist ein String mit maximal 8 Ziffern, und ? kann jeder Buchstabe sein
(z.B.: etxovima.exe , afpsqg.exe)
und die exe Datei wo die Registry Entry 10,240 bytes hat.
wo %WINDOWS% auf den Windows Ordner weist (oder WinNT bei Windows NT based Systemen)
%SYSTEM% weist auf "System" Ordner bei Windows 9x Systemen und "System32" Ordner
bei WinNT Systemen.
|
Technische Beschreibung:
|
Der Wurm nutzt eine Microsoft LSASS Windows Schwäche zur Verbreitung.
Nach seiner Ausführung macht er u.a. Folgendes:
-. Er schafft eine Kopie des Wurms im %SYSTEM% Ordner, als ????????.exe wo ? jeder Buchstabe sein kann.
- Führt die Kopie des Wurmes aus und beendet den aktuellen Prozess.
- Öffnet die Ports: 113, 3067 und eien beliebigen Port zwischen 2000 und 10191, der Remote Connections erlaubt und nach zufälligen IP Adressen sucht, um den Wurm an ungepatchte Systeme zu versenden.
Er öffnet Port 6667, versucht sich an eine Liste von IRC Servern zu verschicken und wartet dort auf Befehle.
|
Entfernung:
|
In unserer Bereich der free
Downloads haben wir eine Rubrik geschaffen für kostenlose Removal Tools. Hier
Win32.Worm.Korgo.C Removal Tool
suchen & downloaden oder hier
zum Forum um Hilfe zu bekommen
[ Zurück zum Anfang ]
|
|
 |
aktuelle Viren
Meldungen |
|
|
|
weitere Dienste |
|
|
|
