I-Worm/Korgo.v在TCP連線埠445利用LSASS漏洞進行傳播,監聽256-8191段的任意TCP連線埠,並具有開後門的功能,可使系統不需許可權隨意訪問,因此可能導致機密數據的丟失並危及安全設定。
基本介紹
- 外文名:I-Worm/Korgo.v
- 病毒長度::9534
- 病毒類型::網路蠕蟲
- 危害等級::**
影響平台,傳播特徵,
影響平台
Win2000/XP
傳播特徵
傳播過程及特徵:
複製自身為:%Syestem%<隨機檔案名稱>.exe
2.創建事件對象u19x,同時打開對象u19,u18,u17,u16,u15,
u14,u13i,u13,u12,u11,u10,u18x,u17x,u16x,u15x,
u14x,u13x,u12x,u11x,u10x
3.修改註冊表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
/刪除註冊表:
下的鍵值:
"Windows Security Manager"
"Disk Defragmenter"
"System Restore Service"
"Bot Loader"
"SysTray"
"WinUpdate"
"Windows Update Service"
"avserve.exe"
"avserve2.exeUpdate Service"
"MS Config v13"
/添加鍵值:
"Client"="1"
"ID"=<隨機值>
到註冊表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wireless
/添加鍵值:"Cryptographic Service"="%System%\<隨機檔案名稱>.exe"
到註冊表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
4.將自身作為執行緒嵌入Exporer.exe,而後開始運行並有如下操作:
/打開從256到8191的任意TCP連線埠,蠕蟲通過這些連線埠傳送自身。
/連線下列HTTP伺服器,並試圖從這些站點升級自身:
adult-empire.com
asechka.ru
citi-bank.ru
color-bank.ru
crutop.nu
cvv.ru
fethard.biz
filesearch.ru
kavkaz.tv
kidos-bank.ru
konfiskat.org
master-x.com
mazafaka.ru
parex-bank.ru
roboxchange.com
www.redline.ru
xware.cjb.net
