I-Worm/Korgo.t通過LSASS漏洞進行傳播,監聽TCP連線埠113、5111以及從256到8191的任意連線埠,並具有開後門的功能,可使系統不需許可權隨意訪問,因此可能導致機密數據的丟失並危及安全設定。
基本介紹
基本信息,傳播過程,
基本信息
I-Worm/Korgo.t
影響平台:Win2000/XP
傳播過程
2.創建事件對象u18x,同時打開對象u10x,u11x,u12x,u13x,u14x,u15x,u16x,u17x,u8,u9,u10,u11,u12,u13i,u14,u15,u16,u17,u18。
3.修改註冊表:
/刪除註冊表鍵值
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Windows Security Manager
Disk Defragmenter
System Restore Service
Bot Loader
WinUpdate
Windows Update Service
avserve.exe
avserve2.exeUpdate Service
MS Config v13"
SysTray
/添加鍵值
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wireless]
"Client"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Update"="%System%\<隨機檔案名稱>.exe"
4.複製自身:
%System%<隨機檔案名稱>.exe
5.將自身作為執行緒嵌入Exporer.exe進程,而後開始運行並有如下操作:
/打開TCP連線埠113,5111和從256到8191的任意連線埠進行監聽,並在此接收信息,傳送蠕蟲副本到遠程計算機。
/連線下列HTTP伺服器,試圖從這些站點下載更新檔案。
adult-empire.com
asechka.ru
citi-bank.ru
color-bank.ru
crutop.nu
cvv.ru
fethard.biz
filesearch.ru
kavkaz.tv
kidos-bank.ru
konfiskat.org
master-x.com
mazafaka.ru
parex-bank.ru
roboxchange.com
www.redline.ru
xware.cjb.net
