I-Worm/Korgo.t

I-Worm/Korgo.t

病毒长度：9344 字节

病毒类型：网络蠕虫

危害等级：**

影响平台：Win2000/XP

I-Worm/Korgo.t通过LSASS漏洞进行传播，监听TCP端口113、5111以及从256到8191的任意端口，并具有开后门的功能，可使系统不需权限随意访问，因此可能导致机密数据的丢失并危及安全设置。

传播过程及特征：

1.从蠕虫被执行的文件夹下删除文件：Ftpupd.exe。

2.创建事件对象u18x，同时打开对象u10x,u11x,u12x,u13x,u14x,u15x,u16x,u17x,u8,u9,u10,u11,u12,u13i,u14,u15,u16,u17,u18。

3.修改注册表：

/删除注册表键值

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

Windows Security Manager

Disk Defragmenter

System Restore Service

Bot Loader

WinUpdate

Windows Update Service

avserve.exe

avserve2.exeUpdate Service

MS Config v13"

SysTray

/添加键值

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWireless]

"Client"="1"

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

"Windows Update"="%System%<随机文件名>.exe"

4.复制自身：

%System%<随机文件名>.exe

5.将自身作为线程嵌入Exporer.exe进程，而后开始运行并有如下操作：

/打开TCP端口113，5111和从256到8191的任意端口进行监听，并在此接收信息，发送蠕虫副本到远程计算机。

/依赖随机的IP地址在TCP端口445利用LSASS漏洞进行传播，一旦发现目标计算机，它会通过连接感染的计算机去下载蠕虫文件。

/连接下列HTTP服务器，试图从这些站点下载更新文件。

adult-empire.com

asechka.ru

citi-bank.ru

color-bank.ru

crutop.nu

cvv.ru

fethard.biz

filesearch.ru

kavkaz.tv

kidos-bank.ru

konfiskat.org

master-x.com

mazafaka.ru

parex-bank.ru

roboxchange.com

www.redline.ru

xware.cjb.net