I-Worm/Korgo.f
病毒長度:10,752 位元組病毒類型:網路蠕蟲
危害等級:***
影響平台:Win2000/XP
I-Worm/Korgo.f通過LSASS漏洞進行傳播,監聽TCP連線埠113以及3067,並具有開後門的功能,可使系統不需許可權隨意訪問,因此可能導致機密數據的丟失並危及安全設定。
傳播過程及特徵:
1.從蠕蟲被執行的資料夾下刪除檔案:Ftpupd.exe。
2.修改註冊表:
/從註冊表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
刪除下列鍵值:
"System Service Manager"
"System Restore Service"
"Bot Loader"
"Windows Update Service"
"WinUpdate"
"Windows Security Manager"
"avserve.exe"
"avserve2.exe"
/從註冊表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
查找鍵值:"Disk Defragmenter"
▲不存在:
則在註冊表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wireless
下添加鍵值:"Client"="1"
▲存在但檔案路徑不同:
則首先複製自身為:%System%\<隨機檔案名稱>.exe
然後添加鍵值:"Disk Defragmenter"="%System%\<隨機檔案名稱>.exe"
到註冊表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
最後運行此檔案並中止當前進程。
▲存在並且蠕蟲路徑正確:
刪除註冊表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wireless
下的鍵值:"Client"
3.將自身作為執行緒嵌入Exporer.exe進程,而後開始運行並有如下操作:
/打開TCP連線埠113,3067和其它任意連線埠進行監聽,並在此接收信息,傳送蠕蟲副本到遠程計算機。
/依賴隨機的IP位址利用LSASS漏洞進行傳播,一旦發現目標計算機,它會通過蠕蟲打開的TCP連線埠連線到感染的計算機。
/在TCP連線埠6667連線下列IRC伺服器,並在此接收指令。
gaspode.zanet.org.za
lia.zanet.net
irc.tsk.ru
london.uk.eu.undernet.org
washington.dc.us.undernet.org
los-angeles.ca.us.undernet.org
brussels.be.eu.undernet.org
caen.fr.eu.undernet.org
flanders.be.eu.undernet.org
graz.at.eu.undernet.org
moscow-advocat.ru
gaz-prom.ru
註:%Windir%為變數,一般為C:\Windows 或 C:\Winnt;
%Program Files%一般為C:\Program Files;
%System%為變數,一般為C:\Windows\System (Windows 95/98/Me),
C:\Winnt\System32 (Windows NT/2000),
或 C:\Windows\System32 (Windows XP)。
