I-Worm/Korgo.e
I-Worm/Korgo.e
病毒长度:10,752 字节
病毒类型:网络蠕虫
危害等级:**
影响平台:Win2000/XP
I-Worm/Korgo.e通过LSASS漏洞进行传播,监听TCP端口113、3067以及从256到8191的任意端口,并具有开后门的功能,可使系统不需权限随意访问,因此可能导致机密数据的丢失并危及安全设置。它是用UPX压缩过的。
传播过程及特征:
1.从蠕虫被执行的文件夹下删除文件:Ftpupd.exe。
2.创建互斥体:u6, u9, u7, uterm_9, r10,保证一个蠕虫例程的运行。
3.修改注册表:
/从注册表:HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
删除下列键值:
"System Service Manager"
"System Restore Service"
"Bot Loader"
"Windows Update Service"
"WinUpdate"
"Windows Security Manager"
"avserve.exe"
"avserve2.exe
/从注册表:HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
查找键值:"Update Service"
不存在:
则在注册表:HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Wireless
下添加键值:"Client"="1"
设置"ID"值
复制自身为%System%\\<随机文件名>.exe
添加键值:"Update Service"="%System%\\<随机文件名>.exe"
到注册表:HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
运行<随机文件名>.exe并结束当前进程
存在但文件路径不同:
则首先复制自身为:%System%\\<随机文件名>.exe
然后添加键值:"Update Service" ="%System%\\<随机文件名>.exe"
到注册表:HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
最后运行此文件并中止当前进程。
存在并且蠕虫路径正确:
删除注册表:HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Wireless
下的键值:"Client"
4.将自身作为线程嵌入Exporer.exe进程,而后开始运行并有如下操作:
/打开TCP端口113,3067和从256到8191的任意端口进行监听,并在此接收信息,发送蠕虫副本到远程计算机。
/依赖随机的IP地址在TCP端口445利用LSASS漏洞进行传播,一旦发现目标计算机,它会通过连接感染的计算机去下载蠕虫文件。
/在TCP端口6667连接IRC服务器
K01irc.kar.net
gaspode.zanet.org.za
lia.zanet.net
irc.tsk.ru
london.uk.eu.undernet.org
washington.dc.us.undernet.org
los-angeles.ca.us.undernet.org
brussels.be.eu.undernet.org
caen.fr.eu.undernet.org
flanders.be.eu.undernet.org
graz.at.eu.undernet.org
moscow-advocat.ru
gaz-prom.ru