I-Worm/Korgo.t
I-Worm/Korgo.t
病毒长度:9344 字节
病毒类型:网络蠕虫
危害等级:**
影响平台:Win2000/XP
I-Worm/Korgo.t通过LSASS漏洞进行传播,监听TCP端口113、5111以及从256到8191的任意端口,并具有开后门的功能,可使系统不需权限随意访问,因此可能导致机密数据的丢失并危及安全设置。
传播过程及特征:
1.从蠕虫被执行的文件夹下删除文件:Ftpupd.exe。
2.创建事件对象u18x,同时打开对象u10x,u11x,u12x,u13x,u14x,u15x,u16x,u17x,u8,u9,u10,u11,u12,u13i,u14,u15,u16,u17,u18。
3.修改注册表:
/删除注册表键值
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
Windows Security Manager
Disk Defragmenter
System Restore Service
Bot Loader
WinUpdate
Windows Update Service
avserve.exe
avserve2.exeUpdate Service
MS Config v13"
SysTray
/添加键值
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWireless]
"Client"="1"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"Windows Update"="%System%<随机文件名>.exe"
4.复制自身:
%System%<随机文件名>.exe
5.将自身作为线程嵌入Exporer.exe进程,而后开始运行并有如下操作:
/打开TCP端口113,5111和从256到8191的任意端口进行监听,并在此接收信息,发送蠕虫副本到远程计算机。
/依赖随机的IP地址在TCP端口445利用LSASS漏洞进行传播,一旦发现目标计算机,它会通过连接感染的计算机去下载蠕虫文件。
/连接下列HTTP服务器,试图从这些站点下载更新文件。
adult-empire.com
asechka.ru
citi-bank.ru
color-bank.ru
crutop.nu
cvv.ru
fethard.biz
filesearch.ru
kavkaz.tv
kidos-bank.ru
konfiskat.org
master-x.com
mazafaka.ru
parex-bank.ru
roboxchange.com
www.redline.ru
xware.cjb.net