I-Worm/Korgo.l

I-Worm/Korgo.l

病毒长度：9,343 字节

病毒类型：网络蠕虫

危害等级：··

影响平台：Win2000/XP

I-Worm/Korgo.l在TCP端口445利用LSASS漏洞进行传播，监听TCP端口113、3067和256-8191段的任意端口，并具有开后门的功能，可使系统不需权限随意访问，因此可能导致机密数据的丢失并危及安全设置。

传播过程及特征：

1.从蠕虫被执行的文件夹下删除文件：Ftpupd.exe。

2.创建互斥体：u8, u9, u10, uterm11, r10，保证一个蠕虫例程的运行。

3.创建事件对象u11x，同时打开对象u10x。

4.修改注册表：

/删除注册表：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

下的键值：

Windows Security Manager

Disk Defragmenter

System Restore Service

Bot Loader

WinUpdate

Windows Update Service

avserve.exe

avserve2.exeUpdate Service

/从注册表：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

查找键值："Windows Update"

▲不存在：

△则在注册表：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWireless

下添加键值："Client"="1"

设置"ID"值

△复制自身为%System%<随机文件名>.exe

△添加键值："Windows Update"="%System%<随机文件名>.exe"

到注册表：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

△运行<随机文件名>.exe并结束当前进程

▲存在但文件路径不同：

△则首先复制自身为：%System%<随机文件名>.exe

△然后添加键值："Windows Update" ="%System%<随机文件名>.exe"

到注册表：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

△最后运行此文件并中止当前进程。

▲存在并且蠕虫路径正确：

删除注册表：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWireless

下的键值："Client"

5.将自身作为线程嵌入Exporer.exe，而后开始运行并有如下操作：

/打开TCP端口113，3067和从256到8191的任意端口，蠕虫通过这些端口发送自身。

/依赖随机的IP地址在TCP端口445利用LSASS漏洞进行传播，一旦发现目标计算机，它会通过连接感染的计算机去下载蠕虫文件。

/连接下列HTTP服务器，发送request请求，试图对这些站点发动DoS攻击。

moscow-advokat.ru

fethard.biz

hackers.lv

cvv.ru

www.redline.ru

lovingod.host.sk

filesearch.ru

goldensand.ru

fuck.ru

padonki.org

trojan.ru

asechka.ru

master-x.com

color-bank.ru

kavkaz.ru

crutop.nu

kidos-bank.ru

parex-bank.ru

adult-empire.com

konfiskat.org

citi-bank.ru

xware.cjb.net

mazafaka.ru