I-Worm/Korgo.v
病毒长度:9534
病毒类型:网络蠕虫
危害等级:**
影响平台:Win2000/XP
I-Worm/Korgo.v在TCP端口445利用LSASS漏洞进行传播,监听256-8191段的任意TCP端口,并具有开后门的功能,可使系统不需权限随意访问,因此可能导致机密数据的丢失并危及安全设置。
传播过程及特征:
1.从蠕虫被执行的文件夹下删除文件:Ftpupd.exe
复制自身为:%Syestem%<随机文件名>.exe
2.创建事件对象u19x,同时打开对象u19,u18,u17,u16,u15,
u14,u13i,u13,u12,u11,u10,u18x,u17x,u16x,u15x,
u14x,u13x,u12x,u11x,u10x
3.修改注册表:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
/删除注册表:
下的键值:
"Windows Security Manager"
"Disk Defragmenter"
"System Restore Service"
"Bot Loader"
"SysTray"
"WinUpdate"
"Windows Update Service"
"avserve.exe"
"avserve2.exeUpdate Service"
"MS Config v13"
/添加键值:
"Client"="1"
"ID"=<随机值>
到注册表:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWireless
/添加键值:"Cryptographic Service"="%System%<随机文件名>.exe"
到注册表:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
4.将自身作为线程嵌入Exporer.exe,而后开始运行并有如下操作:
/打开从256到8191的任意TCP端口,蠕虫通过这些端口发送自身。
/依赖随机的IP地址在TCP端口445利用LSASS漏洞进行传播,一旦发现目标计算机,它会通过连接感染的计算机去下载蠕虫文件。
/连接下列HTTP服务器,并试图从这些站点升级自身:
adult-empire.com
asechka.ru
citi-bank.ru
color-bank.ru
crutop.nu
cvv.ru
fethard.biz
filesearch.ru
kavkaz.tv
kidos-bank.ru
konfiskat.org
master-x.com
mazafaka.ru
parex-bank.ru
roboxchange.com
www.redline.ru
xware.cjb.net
