||||
Symantec.com > Security Response > W32.Korgo.F
STAMPA QUESTA PAGINA

W32.Korgo.F

Livello di rischio 2: Basso

Scarica lo strumento di rimozione | Versione per stampante

Rilevato: 1 de Giugno de 2004
Aggiornato: 13 de Febbraio de 2007 12:25:23 PM
Conosciuto anche come: Worm.Win32.Padobot.e [Kaspersk, W32/Korgo.worm.g [McAfee], WORM_KORGO.F [Trend]
Tipo: Worm
Lunghezza dell’infezione: 10,752 bytes
Sistemi operativi minacciati: Windows 2000, Windows XP


Quando viene eseguito, W32.Korgo.F si comporta nel modo seguente:
  1. Elimina il file, Ftpupd.exe, dalla cartella in cui il worm è stato eseguito.
  2. Elimina i valori:

    "System Service Manager"
    "System Restore Service"
    "Bot Loader"
    "Windows Update Service"
    "WinUpdate"
    "Windows Security Manager"
    "avserve.exe"
    "avserve2.exe"

    dalla chiave di registro:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  3. Cerca il valore:

    "Disk Defragmenter"

    nella chiave di registro:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    • Se il valore "Disk Defragmenter" non esiste, il worm aggiunge il valore:

      "Client"="1"

      alla chiave del Registro di sistema:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wireless

    • Se il valore "Disk Defragmenter" esiste ma il percorso del file è diverso, allora il worm:

      1. Copia se stesso come %System%\<nome file casuale>.exe.

        Nota: %System% è una variabile. il worm individua la cartella di sistema e si replica in tale posizione. Per impostazione predefinita questa cartella si trova sul percorso C:\Windows\System (in Windows 95/98/Me), C:\Winnt\System32 (in Windows NT/2000) e C:\Windows\System32 (in Windows XP).

      2. Aggiunge il valore:

        "Disk Defragmenter"="%System%\<nome file casuale>.exe"

        alla chiave del Registro di sistema:

        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

      3. Lancia il file <nome file causale>.exe, e termina il processo corrente.

    • Se il valore "Disk Defragmenter" esiste e corrisponde al percorso del worm, eliminerà il valore:

      "Client"

      dalla chiave di registro:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wireless
  4. Tenta di immettere una funzione in Explorer.exe come thread.

    Se ci riesce, questa minaccia continuerà ad essere eseguita all'interno del processo di Explorer.exe. Tutte le azioni descritte nel passo successivo sembreranno eseguite da Explorer.exe, e il worm non sarà visibile quando si esamina l'elenco dei processi in Windows Task Manager.

    Se non ci riesce, continuerà ad essere eseguito come processo a se stante.
  5. Crea dei thread aggiuntivi ed effettua le operazioni seguenti:

    Nota: Durante la creazione di queste thread, è impossibile arrestare o riavviare il sistema.

    • Apre le porte TCP 113, 3067 ed altre porte a caso. Il worm si mette in ascolto su queste porte e quando riceve un certo messaggio invia una copia di se stesso al computer remoto.
    • Tenta di sfruttare la vulnerabilità LSASS di Windows sulla porta TCP 445 (descritta nel Microsoft Security Bulletin MS04-011), contro indirizzi IP causali. Se il worm riesce a trovare un computer vulnerabile, quell computer tenterà di connettersi al computer infetto tramite una delle porte TCP aperte dal worm.
    • Tenta di connettersi a uno dei seguenti server IRC sulla porta TCP 6667 e ricevere i comandi:
    • gaspode.zanet.org.za
    • lia.zanet.net
    • irc.tsk.ru
    • london.uk.eu.undernet.org
    • washington.dc.us.undernet.org
    • los-angeles.ca.us.undernet.org
    • brussels.be.eu.undernet.org
    • caen.fr.eu.undernet.org
    • flanders.be.eu.undernet.org
    • graz.at.eu.undernet.org
    • moscow-advocat.ru
    • gaz-prom.ru


Symantec Gateway Security 5400 Series e Symantec Gateway Security v1.0
  • Componente antivirus: È attualmente disponibile un aggiornamento per il motore antivirus di Symantec Gateway Security per attivare la protezione contro W32.Korgo.F.Worm. Si consiglia agli utenti di Symantec Gateway Security 5000 Series di eseguire LiveUpdate.
  • Componente IDS/IPS: La firma per Symantec Gateway Security 5400 Series, che rileva gli attacchi contro la vulnerabilità Microsoft LSASS è stata inclusa in SU 8, rilasciato il 14 aprile. È stata rilasciata anche la firma per rilevare gli attacchi contro la vulnerabilità Microsoft LSASS su SGS v1.0. Si consiglia agli utenti di Symantec Gateway Security 5000 Series di eseguire LiveUpdate.
  • Componente firewall per il controllo completo dell'applicazione: Per caratteristica predefinita, la tecnologia firewall di controllo completo dell'applicazione di Symantec protegge contro la diffusione del worm W32.Korgo.F.Worm, impedendo agli aggressori di accedere alla porta TCP/445 e alle porte backdoor dei sistemi infetti (TCP/113, TCP/3067). Si raccomanda agli amministratori di verificare che le politiche per la sicurezza non consentano il traffico in entrata su quelle porte. Si consiglia agli amministratori di analizzare i propri file di registro alla ricerca di eventuali tentativi falliti di stabilire una sessione IRC dai sistemi interni alla porta TCP 6667 come possibile sintomo della presenza di un'infezione nel sistema.

Symantec Enterprise Firewall 8.0
Per caratteristica predefinita, la tecnologia firewall di controllo completo dell'applicazione di Symantec protegge contro la diffusione del worm W32.Korgo.F.Worm, impedendo agli aggressori di accedere alla porta TCP/445 e alle porte backdoor dei sistemi infetti (TCP/113, TCP/3067). Si raccomanda agli amministratori di verificare che le politiche per la sicurezza non consentano il traffico in entrata su quelle porte.

Symantec Enterprise Firewall 7.0.x e Symantec VelociRaptor 1.5
Per caratteristica predefinita, la tecnologia firewall di controllo completo dell'applicazione di Symantec protegge contro la diffusione del worm W32.Korgo.F.Worm, impedendo agli aggressori di accedere alla porta TCP/445 e alle porte backdoor dei sistemi infetti (TCP/113, TCP/3067). Si raccomanda agli amministratori di verificare che le politiche per la sicurezza non consentano il traffico in entrata su quelle porte.

Symantec Clientless VPN Gateway 4400 Series
Symantec Clientless VPN Gateway v5.0 non viene colpito da questa minaccia.

Symantec Gateway Security 300 Series
Per impostazione predefinita la tecnologia firewall "stateful inspection" di Symantec impedisce agli aggressori di accedere alla porta TCP/445 sui sistemi interni e alle porte backdoor dei sistemi infetti (TCP 113, 3067 o altre porte a caso). Si raccomanda agli amministratori di verificare che le politiche per la sicurezza in applicazione non consentano l'ingresso su TCP/445, TCP/113, TCP/3067 e di utilizzare la funzionalità AVpe di SGS 300 per accertarsi che tutti i client antivirus siano aggiornati con le definizioni dei virus correnti.

Symantec Firewall/VPN 100/200 Series
Per impostazione predefinita la tecnologia firewall "stateful inspection" di Symantec impedisce agli aggressori di accedere alla porta TCP/445 sui sistemi interni e alle porte backdoor dei sistemi infetti (TCP/113, TCP/3067 o altre porte a caso).

Symantec ManHunt
Il 13-04-2004, è stato rilasciato Security Update 22 per rilevare tutti i tentativi di sfruttare la vulnerabilità LSASS mediante la firma "Microsoft RPC LSASS DS Request". Perciò quando W32.Korgo.F.Worm ha iniziato a propagarsi, agli utenti di Symantec ManHunt era già assicurata la protezione completa contro questa vulnerabilità.

Consigli

Symantec Security Response incoraggia tutti gli utenti e gli amministratori ad adottare le seguenti "best practices" di sicurezza di base:

<>
  • Disattivare e rimuovere i servizi inutili. Molti sistemi operativi installano, per impostazione predefinita, servizi ausiliari non essenziali per il funzionamento del sistema, quali server FTP, telnet e server Web. Tali servizi fungono da punti di accesso per eventuali attacchi, la loro rimozione causa pertanto una diminuzione delle possibilità di attacco da parte delle minacce di tipo misto e comporta anche un minore lavoro di mantenimento dei servizi tramite aggiornamenti.
  • Se una minaccia di tipo misto sfrutta uno o più servizi di rete, disattivare o bloccare il relativo accesso finché non viene applicata una patch.
  • Mantenere sempre aggiornati i livelli delle patch, in particolare nei computer che ospitano servizi pubblici e sono accessibili tramite firewall, quali servizi HTTP, FTP, di posta e DNS (Domain Name System. A titolo di esempio, su tutti i computer basati su Windows dovrebbe essere installato il Service Pack corrente).. Inoltre applicare tutti gli aggiornamenti della sicurezza menzionati in questo documento, nei bollettini di sicurezza affidabili o sui siti Web dei fornitori.
  • Adottare una politica basata sulle password. Password complesse ostacolano la violazione dei file, protetti dalle stesse, presenti sui computer infetti. Ciò aiuta a prevenire o, comunque, a limitare i danni quando un computer viene infettato.
  • Configurare il server di posta elettronica in modo che vengano bloccati o rimossi i messaggi di posta elettronica contenenti in allegato i file utilizzati comunemente per diffondere i virus, ad esempio i file .vbs, .bat, .exe, .pif, e .scr.
  • Isolare rapidamente i computer infetti per impedire ulteriori compromissioni ai danni dell'azienda. Effettuare un'analisi approfondita e ripristinare i computer utilizzando supporti affidabili.
  • Educare il personale della propria azienda a non aprire allegati non attesi. Inoltre, non eseguire software scaricati da Internet senza aver prima effettuato la scansione dei virus. Se non sono stati applicati al browser gli aggiornamenti più recenti, è possibile contrarre un'infezione semplicemente visitando un sito Web.

Documento di: Maryl Magee
Risparmia il 20% con un abbonomento di 2 anni!
©1995 - 2009 Symantec Corporation
Indice del sito|
Note legali|
Trattamento dei dati riservati|
Contattaci|
Siti globali|
Contratti di licenza