荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: Axsn (水波荡漾), 信区: Virus
标 题: Re: 谁有W32.Korgo.X病毒的专杀?
发信站: 荔园晨风BBS站 (2005年03月30日15:50:42 星期三), 站内信件
病毒名:Win32.Korgo. AB
别名: Win32/Korgo.AB.Worm, W32/Korgo.worm.ab (McAfee), W32.Korgo.X
(Symantec), Worm.Win32.Padobot.gen
类别:Win32
类型:蠕虫
传播性:低
破坏性:中
普及度:中
病毒特征:Win32.Korgo.AB是通过微软的LSASS漏洞进行传播的蠕虫病毒。它打开一个后门
未经允许的进入到一台受感染的机器中。蠕虫是一个大小为9,359字节的Win32可执行文件
。
传播方式:当执行时,Korgo.AB将自身复制到%System%下,然后随机产生一个文件名为5到
8字节的文件。 例如:
%System%\UCEIWLX.EXE
然后修改注册表以确保在每次系统运行时副本可以执行:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\WinUpdate = %System%\.exe
病毒创建一个 "uterm15"的互斥体来保证只有一个副本运行。它也用 "u8", "u9" "u10",
"u11", "u12" 的互斥体实现自己的意图。
为了掩饰它的存在,蠕虫把它的主要特性作为远端线程插入Windows资源管理器程序。并发
的蠕虫行为源自Explorer.exe。如果蠕虫没有影响Windows资源管理器程序,它将作为一个
独立程序运行。
注释:'%System%' 是可变的场所。蠕虫根据被感染机器的操作系统决定当前的系统文件夹
。默认情况下,WIN2000和NT的安装位置是C:\WINNT\SYSTEM32 ;95,98和ME的是c:\window
s\system;xp的是c:\windows\systm32.
传染方式:
通过开发
病毒为了使用LSASS缓冲区漏洞试图连接到445端口的IP(MS04-011)。病毒会努力连接由0—
—255任意数字组成的8字符的IP地址。一旦成功进入系统,它会利用任意的端口下载病毒
的副本到系统中, 它通过当地的IP地址创建5个线程去浏览。
一旦感染上病毒,LSASS服务可能会被破坏。
微软提供的此漏洞补丁地址。
危害:
通过后门漏洞传播
病毒通过任意端口进入被感染的机器:监听有限的HTTP请求,并且回复病毒的副本。
每当一个新的系统被感染的时候korgo都会通报给一个远程的WEB服务器。
移动注册键值/进程
Korgo.AB 移动下列注册键值"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
并且并且终止下列进程:
Windows Update;MS Config v13;avserve2.exe;Update Service;avserve.exe;Wind
ows Update Service;WinUpdate;SysTray;Bot Loader;System Restore Service;Di
sk Defragmenter;Windows Security Manager
附加信息:Korgo.AB会创造下列属于自己的注册键值:
HKLM\Microsoft\Wireless\ID = "<10 -20 random characters >"
当病毒通过震荡波的漏洞后,他尝试在临时文件夹中删除'ftpupd.exe'。
病毒的清除:KILL安全胄甲 inoculateIT v23.65.69 版 可检测/清除此病毒。【 在
haohao (haohao) 的大
作中提到: 】: 或者推荐一个能杀的软件,现在试了金山、诺顿、江民都不行,只是能查出
--
黑暗中的矩阵,寒星光芒四射
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.80.88]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店