Дата обнаружения | 28/04/2007 |
Класс | Net-Worm |
Платформа | Win32 |
Описание |
Technical DetailsВирус-червь. Также известен под названием Korgo. Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе LSASS Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS04-011. Червь написан на языке C++. Имеет размер около 10 КБ, упакован UPX. РазмножениеПри запуске червь копирует себя в системный каталог Windows с произвольным именем и регистрируется в ключе автозапуска: [HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun] "WinUpdate"="%system%[имя файла]" Также создает ключ: [HKLMSOFTWAREMicrosoftWireless] "Server"="1" Создает в памяти уникальные идентификаторы «10», «u2», и «uterm5» для определения своего присутствия в системе. Червь, аналогично другим червям, использующим уязвимость в службе LSASS, выбирает произвольные IP-адреса для атаки и заражения. ПрочееПосле заражения инфицированная машина выводит сообщение об ошибке «LSASS service failing», после чего может попытаться перезагрузиться. Червь открывает на зараженной машине порты TCP 113, 3067 и 2041 для приема команд. Пытается установить соединение с несколькими каналами на IRC-серверах: brussels.be.eu.undernet.org caen.fr.eu.undernet.org flanders.be.eu.undernet.org gaspode.zanet.org.za graz.at.eu.undernet.org irc.kar.net lia.zanet.net london.uk.eu.undernet.org los-angeles.ca.us.undernet.org moscow-advokat.ru washington.dc.us.undernet.org для приема команд и передачи данных. |
Узнай статистику распространения угроз в твоем регионе |