Logo - www-parentium.eu

KORGO - novi crv koji čita brojeve vaših računa i kreditnih kartica

06.06.2004. (Izvor:sophos/iskon portal/dp) OPREZ! Ako niste skinuli zakrpu windowsa za rupu koju je koristio Sasser, velika je šansa da ćete "pokupiti" i ovog crva. Osim toga, Sasser je bio opasan "samo" za windows 2000/XP dok Korgo napada i Windowse 98.

Preporučamo skidanje zakrpi sa Microsoftovog sitea (windowsupdate.microsoft.com).

Nazivi koji se koriste za ovog crva su: Worm.Win32.Padobot.b, W32/Korgo.worm.a, W32/Korgo.worm.d, W32.Korgo.A i WORM_KORGO.A.
To je windows-32 crv koji za propagaciju (širenje) koristi LSASS exploit (pukotinu u sigurnosnom sustavu Windowsa). Nakon što se pokrene, crv se kopira u windows/system direktorij a ime odabire nasumice. Pri tom u registryju generira ove ključeve i vrijednosti:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
WinUpdate = \.exe

Tijekom infekcije crv će koristiti i privremenu vrijednost u registryju:
HKLM\Software\Microsoft\Wireless\
Server = 1

W32/Korgo-A skenira nasumične IP adrese pokušavajući ih iskoristiti za napad. Nakon toga rezultate skeniranja šalje na jednog od nekoliko IRC servera i kanala.
Sadrži i backdoor komponentu koja se može iskoristiti za upload fileova i njihovo pokretanje na zaraženom računalu.

Microsoft je izao zakrpu za LSASS sigurnosni propust, koji se može downloadati ovdje.