I-Worm/Korgo.p在TCP連線埠445利用LSASS漏洞進行傳播,監聽TCP連線埠113、3067和256-8191段的任意連線埠,並具有開後門的功能,可使系統不需許可權隨意訪問,因此可能導致機密數據的丟失並危及安全設定。
基本介紹
基本信息,傳播過程,
基本信息
I-Worm/Korgo。p
危害等級:**
傳播過程
2。修改註冊表:
/刪除註冊表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
下的鍵值:
Windows Security Manager
Disk Defragmenter
System Restore Service
Bot Loader
WinUpdate
Windows Update Service
avserve。exe
avserve2。exeUpdate Service
/從註冊表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
查找鍵值:"Windows Update"
▲不存在:
△則在註冊表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wireless
下添加鍵值:"Client"="1"
設定"ID"值
△複製自身為%System%\<隨機檔案名稱>。exe
△添加鍵值:"Windows Update"="%System%\<隨機檔案名稱>。exe"
到註冊表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
△運行<隨機檔案名稱>。exe並結束當前進程
▲存在但檔案路徑不同:
△則首先複製自身為:%System%\<隨機檔案名稱>。exe
△然後添加鍵值:"Windows Update" ="%System%\<隨機檔案名稱>。exe"
到註冊表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
△最後運行此檔案並中止當前進程。
▲存在並且蠕蟲路徑正確:
刪除註冊表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wireless
下的鍵值:"Client"
3。將自身作為執行緒嵌入Exporer。exe,而後開始運行並有如下操作:
/打開TCP連線埠113,3067和從256到8191的任意連線埠,蠕蟲通過這些連線埠傳送自身。
/試圖連線下列HTTP伺服器進行升級。
moscow-advokat。ru
fethard。biz
hackers。lv
cvv。ru
www。redline。ru
lovingod。host。sk
filesearch。ru
goldensand。ru
fuck。ru
padonki。org
trojan。ru
asechka。ru
master-x。com
color-bank。ru
kavkaz。ru
crutop。nu
kidos-bank。ru
parex-bank。ru
adult-empire。com
konfiskat。org
citi-bank。ru
xware。cjb。net
mazafaka。ru
註:%Windir%為變數,一般為C:\Windows 或 C:\Winnt;
%System%為變數,一般為C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000),
或 C:\Windows\System32 (Windows XP)。
