W32.Korgo.V

1. Er löscht die Datei ftpupd.exe aus dem Ordner, von dem aus der Wurm ausgeführt wurde.
   
   
2. Erstellt die Mutex "uterm19“, um sicherzustellen, dass nur eine Instanz des Wurms auf dem Computer ausgeführt wird.
   
   
3. Erstellt das Ereignisobjekt "u19x“.
   
   
4. Öffnet die folgenden Ereignisobjekte:
   
   • u19
   • u18
   • u17
   • u16
   • u15
   • u14
   • u13i
   • u13
   • u12
   • u11
   • u10
   • u18x
   • u17x
   • u16x
   • u15x
   • u14x
   • u13x
   • u12x
   • u11x
   • u10x
     
     
5. Er löscht die Werte
   
   "Windows Security Manager"
   "Disk Defragmenter"
   "System Restore Service"
   "Bot Loader"
   "SysTray"
   "WinUpdate"
   "Windows Update Service"
   "avserve.exe"
   "avserve2.exeUpdate Service"
   "MS Config v13"
   
   aus dem Registrierungsschlüssel
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   
   
6. Versucht, die Prozesse zu beenden, die mit den oben erwähnten Registrierungswerten verbunden sind.
   
   
7. Er kopiert sich selbst nach %System\<Beliebiger Dateiname>.exe.
   
   
   

   ---

   Hinweis:%System% ist eine Variable. Der Wurm findet den Ordner "System" und kopiert sich dorthin. Standardmäßig ist dies C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000) oder C:\Windows\System32 (Windows XP).

   ---

   
   
8. Er fügt die Werte:
   
   "Client"="1"
   "ID"="<willkürlicher Wert>"
   
   dem folgenden Registrierungsschlüssel hinzu:
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wireless
   
   
9. Er fügt den Wert
   
   "Cryptographic Service"="%System%\<willkürlicher Dateiname>.exe"
   
   dem folgenden Registrierungsschlüssel hinzu:
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   
   
10. Versucht, in Explorer.exe eine Funktion als Thread einzunisten.
    
    Wenn dies erfolgreich ist, wird diese Bedrohung weiterhin im Explorer.exe-Prozess ausgeführt. Alle Aktionen, die im folgenden Schritt beschrieben werden, scheinen durch Explorer.exe zu erfolgen, und der Wurm wird in der Prozess-Liste im Windows Task-Manager nicht anzeigt.
    
    Wenn dies nicht erfolgreich ist, läuft der Wurm weiterhin als sein eigener Prozess.
    
    
11. Erstellt zusätzliche Threads und führt folgende Aktionen aus:
    
    
    

    ---

    Hinweis: Während der Wurm diese Threads erstellt, verhindert er, dass der Computer herunterfährt oder neu startet.

    ---

    
    
    
    • Öffnet willkürliche TCP-Ports zwischen 256 und 8191, die der Wurm verwendet, um sich selbst zu versenden.
      
      
    • Versucht, eine Verbindung zu einem der folgenden HTTP-Server herzustellen und sich zu aktualisieren:
      
      • adult-empire.com
      • asechka.ru
      • citi-bank.ru
      • color-bank.ru
      • crutop.nu
      • cvv.ru
      • fethard.biz
      • filesearch.ru
      • kavkaz.tv
      • kidos-bank.ru
      • konfiskat.org
      • master-x.com
      • mazafaka.ru
      • parex-bank.ru
      • roboxchange.com
      • www.redline.ru
      • xware.cjb.net
        
        
    • Versucht, die LSASS-Windows-Schwachstelle auf dem TCP-Port 445 (beschrieben im Microsoft Security Bulletin MS04-011) mit willkürlichen IP-Adressen auszunutzen. Wenn der Wurm erfolgreich einen angreifbaren Computer findet, versucht der Computer, eine neue Verbindung zum infizierten Computer herzustellen, um den Wurm herunterzuladen.

Empfehlungen

Symantec Security Response empfiehlt allen Benutzern und Administratoren, die folgenden grundlegenden Sicherheitsregeln einzuhalten:

• Beenden und entfernen Sie alle nicht benötigten Dienste. Viele Betriebssysteme installieren automatisch Hilfsprogramme, die nicht unbedingt erforderlich sind, z. B. FTP-Server, Telnet und Web-Server. Diese Dienste öffnen Angreifern Tür und Tor. Durch ihr Entfernen wird die Angriffsfläche für komplexe Bedrohungen reduziert, und Sie müssen weniger Programme mit Patch-Updates auf dem neuesten Stand halten.
• Wenn eine komplexe Bedrohung einen oder mehrere Netzwerkdienste angreift, deaktivieren oder sperren Sie diese so lange, bis ein entsprechender Patch installiert wurde.
• Halten Sie Ihre Patches immer auf dem neuesten Stand, insbesondere auf Computern, auf denen öffentliche Dienste installiert sind und auf die über die Firewall zugegriffen werden kann (z. B. auf HTTP-, FTP-, E-Mail- und DNS-Dienste). So sollte beispielsweise auf allen Windows-basierten Computern das aktuellste Service Pack installiert sein. Darüber hinaus sollten Sie alle in diesem Dokument, in vertrauenswürdigen Sicherheitsmitteilungen oder auf den Webseiten der Hersteller erwähnten Sicherheits-Updates installieren.
• Erstellen Sie eine Kennwortrichtlinie und sorgen Sie für ihre Durchsetzung. Komplexe Kennwörter erschweren den Einbruch in Kennwortdateien auf Computern, deren Sicherheit nicht mehr intakt ist. Dadurch können Schäden verhindert oder begrenzt werden, wenn ein Computer angegriffen wurde.
• Stellen Sie Ihren E-Mail-Server so ein, dass E-Mails mit Dateianhängen, über die häufig Viren verbreitet werden (z. B. Dateien mit der Endung .vbs, .bat, .exe, .pif und .scr), blockiert oder entfernt werden.
• Isolieren Sie infizierte Computer schnellstmöglich, um weitere Schäden zu verhindern. Führen Sie eine forensische Analyse durch, und reparieren Sie die Computer mithilfe zuverlässiger Medien.
• Schulen Sie Ihre Mitarbeiter, so dass sie keine Anhänge öffnen, die unaufgefordert eingesendet werden. Führen Sie außerdem keine aus dem Internet heruntergeladene Software aus, die zuvor nicht auf Viren geprüft wurde. Schon allein der Besuch einer infizierten Internet-Seite kann zu einer Infektion führen, wenn bestimmte Browser-Schwachstellen nicht behoben werden.