I-Worm/Korgo.l
I-Worm/Korgo.l
病毒长度:9,343 字节
病毒类型:网络蠕虫
危害等级:··
影响平台:Win2000/XP
I-Worm/Korgo.l在TCP端口445利用LSASS漏洞进行传播,监听TCP端口113、3067和256-8191段的任意端口,并具有开后门的功能,可使系统不需权限随意访问,因此可能导致机密数据的丢失并危及安全设置。
传播过程及特征:
1.从蠕虫被执行的文件夹下删除文件:Ftpupd.exe。
2.创建互斥体:u8, u9, u10, uterm11, r10,保证一个蠕虫例程的运行。
3.创建事件对象u11x,同时打开对象u10x。
4.修改注册表:
/删除注册表:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
下的键值:
Windows Security Manager
Disk Defragmenter
System Restore Service
Bot Loader
WinUpdate
Windows Update Service
avserve.exe
avserve2.exeUpdate Service
/从注册表:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
查找键值:"Windows Update"
▲不存在:
△则在注册表:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWireless
下添加键值:"Client"="1"
设置"ID"值
△复制自身为%System%<随机文件名>.exe
△添加键值:"Windows Update"="%System%<随机文件名>.exe"
到注册表:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
△运行<随机文件名>.exe并结束当前进程
▲存在但文件路径不同:
△则首先复制自身为:%System%<随机文件名>.exe
△然后添加键值:"Windows Update" ="%System%<随机文件名>.exe"
到注册表:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
△最后运行此文件并中止当前进程。
▲存在并且蠕虫路径正确:
删除注册表:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWireless
下的键值:"Client"
5.将自身作为线程嵌入Exporer.exe,而后开始运行并有如下操作:
/打开TCP端口113,3067和从256到8191的任意端口,蠕虫通过这些端口发送自身。
/依赖随机的IP地址在TCP端口445利用LSASS漏洞进行传播,一旦发现目标计算机,它会通过连接感染的计算机去下载蠕虫文件。
/连接下列HTTP服务器,发送request请求,试图对这些站点发动DoS攻击。
moscow-advokat.ru
fethard.biz
hackers.lv
cvv.ru
www.redline.ru
lovingod.host.sk
filesearch.ru
goldensand.ru
fuck.ru
padonki.org
trojan.ru
asechka.ru
master-x.com
color-bank.ru
kavkaz.ru
crutop.nu
kidos-bank.ru
parex-bank.ru
adult-empire.com
konfiskat.org
citi-bank.ru
xware.cjb.net
mazafaka.ru