CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Net-Worm.Win32.Padobot

Date de la détection 04/28/2007
Classe Net-Worm
Plateforme Win32
Description

Détails techniques

Worm.Win32.Padobot.a (également connu sous le nom Korgo) se propage sur Internet à l'aide d'une vulnérabilité dans Microsoft Windows LSASS. Une description de la vulnérabilité peut être trouvée dans Microsoft Security Bulletin MS04-011

Le ver est écrit en C ++ et a une taille d'environ 10 Ko, emballé avec UPX.

Propagation

Lors du lancement, le ver se copie dans le répertoire système Windows sous un nom aléatoire et enregistre ce fichier dans la clé d'exécution automatique du registre système:

 [HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]
   WinUpdate =% system% nom du fichier 

Il crée également une clé de registre

 HKLMSOFTWAREMicrosoftWireless
  Serveur = 1 

Il crée les mutex "10", "u2" et "uterm5" pour marquer sa présence dans le système.

Le ver choisit les adresses IP des machines aléatoires pour les infecter et les attaquer, comme les autres vers qui exploitent la même vulnérabilité LSASS.

Autre

Une fois infectée, une machine victime affichera un message d'erreur indiquant que le service LSASS a échoué. Après que ce message d'erreur a été affiché, l'ordinateur peut redémarrer.

Le ver ouvre les ports TCP 113, 3067 et 2041 pour recevoir des commandes.

Il tente de se connecter à plusieurs canaux IRC:

 moscow-advokat.ru
 graz.at.eu.undernet.org
 flanders.be.eu.undernet.org
 caen.fr.eu.undernet.org
 brussels.be.eu.undernet.org
 los-angeles.ca.us.undernet.org
 washington.dc.us.undernet.org
 london.uk.eu.undernet.org
 lia.zanet.net
 gaspode.zanet.org.za
 irc.kar.net 

recevoir des commandes et transmettre des données.


Lien vers l'original