作者linda16 (别劫去我的忧郁)
看板NtuDormF5
标题[转录]病毒公告-W32.Korgo.F
时间Fri Jun 4 13:04:36 2004
※ [本文转录自 NTUDormM7 看板]
作者: WebM7 (男七网管专用帐号) 看板: NTUDormM7
标题: 病毒公告-W32.Korgo.F
时间: Fri Jun 4 11:44:48 2004
【专题报导】 W32.Korgo.F
一、简介:
此病毒是2004 年 6月1 日发现,赛门铁克自2004 年 6月2日起将它的威胁等级由提高为
第2级,趋势科技目前列入低度警戒。
W32.Korgo.F 是W32.Korgo.E的变种,它是使用Microsoft Windows LSASS Buffer
Overrun Vulnerability (BID 10108) on TCP port 445弱点进行传拨的蠕虫,它会倾听
TCP ports 113, 3067和其它随机port。, and other random ports.
别名:Worm.Win32.Padobot.e [Kaspersky],
W32/Korgo.worm.g [McAfee],
WORM_KORGO.F [Trend]
变种:W32.Korgo.A, W32.Korgo.B, W32.Korgo.C, W32.Korgo.D, W32.Korgo.E
类型:Worm
感染长度:10,752 bytes
受影响系统:Windows 2000, Windows XP
不受影响系统:DOS, Linux, Macintosh, Novell Netware, OS/2, UNIX, Windows 3.x,
Windows 95, Windows 98, Windows Me, Windows NT
二、技术细节:
W32.Korgo.F 被执行时会做下面事情:
1.建删除病毒被执行资料夹中的档案Ftpupd.exe。
2.删除机码
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
中的值
"System Service Manager"
"System Restore Service"
"Bot Loader"
"Windows Update Service"
"WinUpdate"
"Windows Security Manager"
"avserve.exe"
"avserve2.exe"
3.在机码
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
中找到下面值:
"Update Service"
.如果Update Service不存在,蠕虫会在机码
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wireless
增加下面值:
"Client"="1"
.如果Update Service值存在,蠕虫所在的路径和值不同,蠕虫会:
a.将自己拷贝为%System%\<random filename>.exe
b.在登录机码
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
增加下面值:
"Disk Defragmenter"="%System%\<random filename>.exe"
c.启动<random filename>.exe,然後结束目前执行的程式。
.如果Update Service值存在,蠕虫所在的路径和值相同,蠕虫会将机码
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wireless
中的下面值删除:
"Client"f
4.它会尝试在Explorer.exe插入一个功能,以执行绪方式执行。
如果成功,此威胁将会持续在Explorer.exe程序中执行,当您浏览『工作管理员』
时候,蠕虫并不会出现,所有行为好像是Explorer.exe做的。
如果插入失败,它会将自己当成程序执行。
5.它建立其它执行绪,做下面工作(一但蠕虫建立了这些执行绪,它会让电脑无法
关机或重新启动):
.开启并倾听TCP ports 113, 3067和其它随机,当收到特定讯息时候,送出蠕虫
到远端电脑。
.尝试对任意IP位址使用LSASS Windows vulnerability on TCP port 445 弱点
( Microsoft Security Bulletin MS04-011 )入侵。
.尝试用TCP port 6667连线到下面IRC servers接收命令:
.gaspode.zanet.org.za
.lia.zanet.net
.irc.tsk.ru
.london.uk.eu.undernet.org
.washington.dc.us.undernet.org
.los-angeles.ca.us.undernet.org
.brussels.be.eu.undernet.org
.caen.fr.eu.undernet.org
.flanders.be.eu.undernet.org
.graz.at.eu.undernet.org
.moscow-advocat.ru
.gaz-prom.ru
三、移除方法:
手动移除:
1、关闭系统还原功能(Windows Me/XP)
"How to disable or enable Windows Me System Restore"
http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2001012513122239?OpenD
ocument&src=sec_doc_nam
"How to turn off or turn on Windows XP System Restore"
http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2001111912274039?OpenD
ocument&src=sec_doc_nam
2、更新病毒定义档
3、重新启动电脑至安全模式或 VGA 模式。
4、扫描和删除受感染档案
5、删除登录中下面资讯:
按下「开始」,然後按下「执行」。(画面上便会出现「执行」对话方块)。
输入 regedit 然後按下「确定」。(「登录编辑器」会开启)。
跳到这个键:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
在右边面板,删除:
"Disk Defragmenter"="%System%\<random filename>.exe"
跳到这个键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wireless
删除右边窗格中的值:
"Client"="1"
结束并离开「登录编辑器」。
6、更新病毒定义档。
7、扫描并删除受感染的档案
8、重新启动电脑
四、参考资料:
http://securityresponse.symantec.com/avcenter/venc/data/w32.korgo.f.html
http://www.trendmicro.com/vinfo/zh-tw/virusencyclo/default5.asp?VName=WORM_KORG
O.F
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 140.112.250.171
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 140.112.7.59