W32.Korgo.F

Lorsque W32.Korgo.F s'exécute, il réalise les opérations suivantes :

1. Il supprime le fichier Ftpupd.exe dans le dossier à partir duquel le ver a été exécuté.
   
2. Il supprime les valeurs :
   
   "System Service Manager"
   "System Restore Service"
   "Bot Loader"
   "Windows Update Service"
   "WinUpdate"
   "Windows Security Manager"
   "avserve.exe"
   "avserve2.exe"
   "avserve2.exe"
   
   de la clé de registre :
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   
3. Il recherche la valeur :
   
   "Disk Defragmenter"
   
   dans la clé de registre :
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   
   • Si la valeur "Disk Defragmenter" n'existe pas, le ver ajoute la valeur :
     
     "Client"="1"
     
     à la clé de registre :
     
     HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wireless
     
   • Si la valeur "Disk Defragmenter" existe, mais que le chemin d'accès au fichier est différent, le ver réalise alors les opérations suivantes :
     
     1. Il se copie comme %System%\<nom de fichier aléatoire>.exe.
        
        

        ---

        Remarque : %System% est une variable. Le ver détermine l'emplacement du dossier System et se copie à cet emplacement. Par défaut, il s'agit de C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000) ou C:\Windows\System32 (Windows XP).

        ---

     2. Il ajoute la valeur :
        
        "Disk Defragmenter"="%System%\<nom de fichier aléatoire>.exe"
        
        à la clé de registre :
        
        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
        
     3. Il lance <nom de fichier aléatoire>.exe, puis termine le processus en cours.
        
   • Si la valeur "Disk Defragmenter" existe et cette valeur correspond au chemin du ver, il supprimera la valeur suivante :
     
     "Client"
     
     de la clé de registre :
     
     HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wireless
     
4. Il tente d'injecter une fonction dans Explorer.exe comme thread.
   
   S'il y parvient, il continuera de s'exécuter dans le processus Explorer.exe. Toutes les actions détaillées dans l'étape suivante sembleront avoir été effectuées par Explorer.exe, et le ver n'apparaîtra pas dans la liste de processus du gestionnaire des tâches de Windows.
   
   S'il n'y parvient pas, il continuera de s'exécuter comme son propre processus.
   
5. Il crée des threads supplémentaires et effectue les opérations suivantes :

---

Remarque : Tandis que le ver crée ces threads, il empêche l'arrêt ou le redémarrage de l'ordinateur.

---

• Il ouvre les ports TCP 113, 3067 et d'autres ports aléatoires. Le ver écoutera sur ces ports et dès qu'il reçoit un message particulier, il enverra une copie de lui-même à l'ordinateur distant.
  
• Il tente d'exploiter la vulnérabilité LSASS de Windows sur le port TCP 445 (décrite dans le Bulletin de sécurité Microsoft MS04-011) sur des adresses IP aléatoires. Si le ver parvient à trouver un ordinateur vulnérable, cet ordinateur tentera de se reconnecter à l'ordinateur infecté sur l'un des ports TCP ouverts par le ver.
  
• Il tente de se connecter à l'un des serveurs IRC suivants sur le port TCP 6667 et de recevoir des commandes :
  
  • gaspode.zanet.org.za
  • lia.zanet.net
  • irc.tsk.ru
  • london.uk.eu.undernet.org
  • washington.dc.us.undernet.org
  • los-angeles.ca.us.undernet.org
  • brussels.be.eu.undernet.org
  • caen.fr.eu.undernet.org
  • flanders.be.eu.undernet.org
  • graz.at.eu.undernet.org
  • moscow-advocat.ru
  • gaz-prom.ru

Symantec Gateway Security 5400 Series et Symantec Gateway Security version 1.0

• Composant antivirus : Une mise à jour du moteur antivirus de Symantec Gateway Security est désormais disponible afin d'assurer la protection contre le ver W32.Korgo.F.Worm. Les utilisateurs de Symantec Gateway Security 5000 sont invités à exécuter LiveUpdate.
• Composant IDS/IPS : Une signature pour Symantec Gateway Security 5400 Series détectant les attaques contre la vulnérabilité LSASS de Microsoft a été ajoutée à SU 8, publié le 14 avril.
  Une signature détectant les attaques contre la vulnérabilité LSASS de Microsoft sur SGS v1.0 a été publiée. Les utilisateurs de Symantec Gateway Security 5000 sont invités à exécuter LiveUpdate.
• Composant d'inspection de la sémantique des données des pare-feu : Par défaut, la technologie d'inspection de la sémantique des données des pare-feu assure la protection contre la propagation de W32.Korgo.F.Worm en empêchant les attaquants d'accéder au port TCP/445, et les portes dérobées sur les systèmes infectés (TCP/113, TCP/3067). Nous conseillons vivement aux administrateurs de vérifier que leurs stratégies de sécurité n'autorisent pas les connexions entrantes sur ces ports. Les administrateurs doivent analyser leurs fichiers journaux afin de détecter toute échec de tentative par des systèmes internes d'établir d'une session IRC sur le port TCP 6667 de destination. Ceci serait un signe éventuel d'un système compromis.

Symantec Enterprise Firewall 8.0
Par défaut, la technologie d'inspection de la sémantique des données des pare-feu assure la protection contre la propagation de W32.Korgo.F.Worm en empêchant les attaquants d'accéder au port TCP/445, et les portes dérobées sur les systèmes infectés (TCP/113, TCP/3067). Nous conseillons vivement aux administrateurs de vérifier que leurs stratégies de sécurité n'autorisent pas les connexions entrantes sur ces ports.

Symantec Enterprise Firewall 7.0.x et Symantec VelociRaptor 1.5
Par défaut, la technologie d'inspection de la sémantique des données des pare-feu assure la protection contre la propagation de W32.Korgo.F.Worm en empêchant les attaquants d'accéder au port TCP/445, et les portes dérobées sur les systèmes infectés (TCP/113, TCP/3067). Nous conseillons vivement aux administrateurs de vérifier que leurs stratégies de sécurité n'autorisent pas les connexions entrantes sur ces ports.

Symantec Clientless VPN Gateway 4400 Series
Symantec Clientless VPN Gateway v5.0 n'est pas affecté par cette menace.

Symantec Gateway Security 300 Series
Par défaut, la technologie du pare-feu "stateful inspection" de Symantec empêche un attaquant d'accéder au port TCP/445 sur les systèmes internes et aux portes dérobées sur les systèmes infectés (TCP/113, TCP/3067, ou tout autre port aléatoire). Nous conseillons vivement aux administrateurs de vérifier que leurs stratégies de sécurité n'autorisent pas les connexions entrantes sur TCP/445, TCP/113, TCP/3067. Nous conseillons également d'utiliser la fonctionnalité AVpe de SGS 300 Series pour vérifier que les clients AV disposent des dernières définitions de virus.

Symantec Firewall/VPN 100/200 Series
Par défaut, la technologie du pare-feu "stateful inspection" de Symantec empêche un attaquant d'accéder au port TCP/445 sur les systèmes internes et aux portes dérobées sur les systèmes infectés (TCP/113, TCP/3067 ou tout autre port aléatoire).

Symantec ManHunt
Le 13 avril 2004, la Mise à jour de sécurité 22 a été publiée afin de détecter toutes les tentatives d'exploitation de la vulnérabilité LSASS, portant la signature "Microsoft RPC LSASS DS Request". Ainsi, dès l'apparition de W32.Korgo.F worm, les clients disposant de Symantec ManHunt bénéficiaient déjà d'une protection contre cette vulnérabilité.

Recommandations

Symantec Security Response encourage tous les utilisateurs et les administrateurs à adhérer aux "pratiques d'excellence" suivantes en matière de sécurité :

• Désactivez et supprimez les services inutiles. De nombreux systèmes d'exploitation installent par défaut des services auxiliaires qui ne sont pas importants, tels qu'un serveur FTP, telnet et un serveur Web. Ces services sont des portes ouvertes aux attaques. Si vous les supprimez, les menaces combinées ont moins de possibilité d'attaque et vous avez moins de services à protéger grâce aux mises à jour des correctifs.
• Si une menace combinée exploite des services réseau, désactivez ou bloquez l'accès à ces services jusqu'à ce qu'un correctif soit appliqué.
• Installez toujours les dernières versions de correctifs, en particulier sur les ordinateurs qui accueillent des services publics et qui sont accessibles via le pare-feu, tels que les services HTTP, FTP, la messagerie électronique et le DNS. Ainsi, il est recommandé d'installer le Service Pack le plus récent sur tous vos ordinateurs fonctionnant sous Windows. En outre, il est recommandé d'appliquer toutes les mises à jour de sécurité mentionnées dans cet article, dans les bulletins de sécurité reconnus ou sur les sites Internet de vos fournisseurs.
• Instaurez une politique de mot de passe. Il est plus difficile d'accéder aux fichiers protégés par mot de passe sur les ordinateurs infectés si le mot de passe est complexe. Cela permet d'empêcher ou de limiter les dommages causés lorsque la sécurité d'un ordinateur est compromise.
• Configurez votre serveur de courrier électronique afin qu'il bloque ou supprime les messages électroniques dont les pièces jointes sont des fichiers couramment utilisés pour diffuser des virus, tels que les fichiers .vbs, .bat, .exe, .pif ou .scr.
• Isolez rapidement les ordinateurs infectés afin d'empêcher une autre attaque au sein de votre entreprise. Effectuez une analyse des incidents et restaurez les ordinateurs à l'aide de supports approuvés.
• Demandez à vos employés de ne pas ouvrir de pièces jointes de source inconnue ou non sollicitées. De même, ne lancez pas de logiciel téléchargé depuis Internet avant qu'il n'ait fait l'objet d'une recherche de virus. Une simple visite d'un site Internet infecté peut causer une attaque si certaines vulnérabilités du navigateur n'ont pas été corrigées.

Résumé