I-Worm/Korgo.e

I-Worm/Korgo.e

病毒长度：10,752 字节

病毒类型：网络蠕虫

危害等级：**

影响平台：Win2000/XP

I-Worm/Korgo.e通过LSASS漏洞进行传播，监听TCP端口113、3067以及从256到8191的任意端口，并具有开后门的功能，可使系统不需权限随意访问，因此可能导致机密数据的丢失并危及安全设置。它是用UPX压缩过的。

传播过程及特征：

1.从蠕虫被执行的文件夹下删除文件：Ftpupd.exe。

2.创建互斥体：u6, u9, u7, uterm_9, r10，保证一个蠕虫例程的运行。

3.修改注册表：

/从注册表：HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

删除下列键值：

"System Service Manager"

"System Restore Service"

"Bot Loader"

"Windows Update Service"

"WinUpdate"

"Windows Security Manager"

"avserve.exe"

"avserve2.exe

/从注册表：HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

查找键值："Update Service"

不存在：

则在注册表：HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Wireless

下添加键值："Client"="1"

设置"ID"值

复制自身为%System%\\<随机文件名>.exe

添加键值："Update Service"="%System%\\<随机文件名>.exe"

到注册表：HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

运行<随机文件名>.exe并结束当前进程

存在但文件路径不同：

则首先复制自身为：%System%\\<随机文件名>.exe

然后添加键值："Update Service" ="%System%\\<随机文件名>.exe"

到注册表：HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

最后运行此文件并中止当前进程。

存在并且蠕虫路径正确：

删除注册表：HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Wireless

下的键值："Client"

4.将自身作为线程嵌入Exporer.exe进程，而后开始运行并有如下操作：

/打开TCP端口113，3067和从256到8191的任意端口进行监听，并在此接收信息，发送蠕虫副本到远程计算机。

/依赖随机的IP地址在TCP端口445利用LSASS漏洞进行传播，一旦发现目标计算机，它会通过连接感染的计算机去下载蠕虫文件。

/在TCP端口6667连接IRC服务器

K01irc.kar.net

gaspode.zanet.org.za

lia.zanet.net

irc.tsk.ru

london.uk.eu.undernet.org

washington.dc.us.undernet.org

los-angeles.ca.us.undernet.org

brussels.be.eu.undernet.org

caen.fr.eu.undernet.org

flanders.be.eu.undernet.org

graz.at.eu.undernet.org

moscow-advocat.ru

gaz-prom.ru