※ [本文轉錄自 NTUDormM7 看板] 作者: WebM7 (男七網管專用帳號) 看板: NTUDormM7 標題: 病毒公告-W32.Korgo.F 時間: Fri Jun 4 11:44:48 2004 【專題報導】 W32.Korgo.F 一、簡介： 此病毒是2004 年 6月1 日發現，賽門鐵克自2004 年 6月2日起將它的威脅等級由提高為 第2級，趨勢科技目前列入低度警戒。 W32.Korgo.F 是W32.Korgo.E的變種，它是使用Microsoft Windows LSASS Buffer Overrun Vulnerability (BID 10108) on TCP port 445弱點進行傳撥的蠕蟲，它會傾聽 TCP ports 113, 3067和其它隨機port。, and other random ports. 別名：Worm.Win32.Padobot.e [Kaspersky], W32/Korgo.worm.g [McAfee], WORM_KORGO.F [Trend] 變種：W32.Korgo.A, W32.Korgo.B, W32.Korgo.C, W32.Korgo.D, W32.Korgo.E 類型：Worm 感染長度：10,752 bytes 受影響系統：Windows 2000, Windows XP 不受影響系統：DOS, Linux, Macintosh, Novell Netware, OS/2, UNIX, Windows 3.x, Windows 95, Windows 98, Windows Me, Windows NT 二、技術細節： W32.Korgo.F 被執行時會做下面事情： 1.建刪除病毒被執行資料夾中的檔案Ftpupd.exe。 2.刪除機碼 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 中的值 "System Service Manager" "System Restore Service" "Bot Loader" "Windows Update Service" "WinUpdate" "Windows Security Manager" "avserve.exe" "avserve2.exe" 3.在機碼 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 中找到下面值： "Update Service" ．如果Update Service不存在，蠕蟲會在機碼 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wireless 增加下面值： "Client"="1" ．如果Update Service值存在，蠕蟲所在的路徑和值不同，蠕蟲會： a.將自己拷貝為%System%\<random filename>.exe b.在登錄機碼 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 增加下面值： "Disk Defragmenter"="%System%\<random filename>.exe" c.啟動<random filename>.exe，然後結束目前執行的程式。 ．如果Update Service值存在，蠕蟲所在的路徑和值相同，蠕蟲會將機碼 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wireless 中的下面值刪除： "Client"f 4.它會嘗試在Explorer.exe插入一個功能，以執行緒方式執行。 如果成功，此威脅將會持續在Explorer.exe程序中執行，當您瀏覽『工作管理員』 時候，蠕蟲並不會出現，所有行為好像是Explorer.exe做的。 如果插入失敗，它會將自己當成程序執行。 5.它建立其它執行緒，做下面工作（一但蠕蟲建立了這些執行緒，它會讓電腦無法 關機或重新啟動）： ．開啟並傾聽TCP ports 113, 3067和其它隨機，當收到特定訊息時候，送出蠕蟲 到遠端電腦。 ．嘗試對任意IP位址使用LSASS Windows vulnerability on TCP port 445 弱點 ( Microsoft Security Bulletin MS04-011 )入侵。 ．嘗試用TCP port 6667連線到下面IRC servers接收命令： ．gaspode.zanet.org.za ．lia.zanet.net ．irc.tsk.ru ．london.uk.eu.undernet.org ．washington.dc.us.undernet.org ．los-angeles.ca.us.undernet.org ．brussels.be.eu.undernet.org ．caen.fr.eu.undernet.org ．flanders.be.eu.undernet.org ．graz.at.eu.undernet.org ．moscow-advocat.ru ．gaz-prom.ru 三、移除方法： 手動移除： 1、關閉系統還原功能(Windows Me/XP) "How to disable or enable Windows Me System Restore" http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2001012513122239?OpenD ocument&src=sec_doc_nam "How to turn off or turn on Windows XP System Restore" http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2001111912274039?OpenD ocument&src=sec_doc_nam 2、更新病毒定義檔 3、重新啟動電腦至安全模式或 VGA 模式。 4、掃描和刪除受感染檔案 5、刪除登錄中下面資訊： 按下「開始」，然後按下「執行」。(畫面上便會出現「執行」對話方塊)。 輸入 regedit 然後按下「確定」。(「登錄編輯器」會開啟)。 跳到這個鍵： HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 在右邊面板，刪除： "Disk Defragmenter"="%System%\<random filename>.exe" 跳到這個鍵： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wireless 刪除右邊窗格中的值： "Client"="1" 結束並離開「登錄編輯器」。 6、更新病毒定義檔。 7、掃描並刪除受感染的檔案 8、重新啟動電腦 四、參考資料： http://securityresponse.symantec.com/avcenter/venc/data/w32.korgo.f.html http://www.trendmicro.com/vinfo/zh-tw/virusencyclo/default5.asp?VName=WORM_KORG O.F --

※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 140.112.250.171 --

※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 140.112.7.59