KORGO - novi crv koji čita brojeve vaših računa i kreditnih kartica
06.06.2004.
(Izvor:sophos/iskon portal/dp)
OPREZ! Ako niste skinuli zakrpu windowsa za rupu koju je koristio Sasser, velika je šansa da ćete "pokupiti" i ovog crva. Osim toga, Sasser je bio opasan "samo" za windows 2000/XP dok Korgo napada i Windowse 98.
Preporučamo skidanje zakrpi sa Microsoftovog sitea (windowsupdate.microsoft.com).
Nazivi koji se koriste za ovog crva su: Worm.Win32.Padobot.b, W32/Korgo.worm.a, W32/Korgo.worm.d, W32.Korgo.A i WORM_KORGO.A.
To je windows-32 crv koji za propagaciju (širenje) koristi LSASS exploit (pukotinu u sigurnosnom sustavu Windowsa). Nakon što se pokrene, crv se kopira u windows/system direktorij a ime odabire nasumice. Pri tom u registryju generira ove ključeve i vrijednosti:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
WinUpdate =
\.exe
Tijekom infekcije crv će koristiti i privremenu vrijednost u registryju:
HKLM\Software\Microsoft\Wireless\
Server = 1
W32/Korgo-A skenira nasumične IP adrese pokušavajući ih iskoristiti za napad. Nakon toga rezultate skeniranja šalje na jednog od nekoliko IRC servera i kanala.
Sadrži i backdoor komponentu koja se može iskoristiti za upload fileova i njihovo pokretanje na zaraženom računalu.
Microsoft je izao zakrpu za LSASS sigurnosni propust, koji se može downloadati ovdje.