|||
Symantec.com > Security Response > W32.Korgo.F
IMPRIMIR ESTA PÁGINA

W32.Korgo.F

Nível do risco 2: Baixo

Fazer o download da ferramenta de remoção | Versão para impressão

Descoberto: 1 de Junho de 2004
Atualizado: 13 de Fevereiro de 2007 12:24:30 PM
Também conhecido como: Worm.Win32.Padobot.e [Kaspersk, W32/Korgo.worm.g [McAfee], WORM_KORGO.F [Trend]
Tipo: worm
Extensão da infecção: 10,752 bytes
Sistemas afetados: Windows 2000, Windows XP


Quando o W32.Korgo.F é ativado, ele executa as seguintes ações:
  1. Exclui o arquivo Ftpupd.exe, da pasta onde o worm foi executado.

  2. Cria os mutex "u6", "u8", "u9", "u10" e "uterm_10" para se certificar de que apenas uma instância do worm pode ser executada.

  3. Exclui os valores:

    "System Service Manager"
    "System Restore Service"
    "Bot Loader"
    "Windows Update Service"
    "WinUpdate"
    "Windows Security Manager"
    "avserve.exe"
    "avserve2.exe"

    da chave de registro:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  4. Localiza o valor:

    "Update Service"

    na chave do Registro:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    • Se o valor "Update Service" não existir, o worm adiciona o valor:

      "Client"="1"

      à chave de registro:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wireless

    • Se o valor "Update Service" existir mas o caminho do arquivo for diferente, então o worm:

      1. Cria uma cópia de si mesmo como %System%<nome aleatório de arquivo>.exe.

        Nota: %System% é uma variável. O worm localiza a pasta System e faz um a cópia de si mesmo para esse local. Por padrão, esta pasta é C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000) ou C:\Windows\System32 (Windows XP).

      2. Adiciona o valor:

        "Disk Defragmenter"="%System%\<random filename>.exe"

        à chave de registro:

        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

      3. Inicia o <nome aleatório de arquivo>.exe e então finaliza o processo atual.

    • Se o valor "Update Service" existir e o valor corresponder ao caminho do worm, ele irá excluir o valor:

      "Client"

      da chave de registro:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wireless

  5. Monitora as seguintes portas TCP:
    • 113
    • 3067
    • Outras portas aleatórias. O worm envia uma cópia dele mesmo através destas portas.

  6. Tenta se conectar com um dos seguintes servidores IRC na porta TVP 6667:
    • gaspode.zanet.org.za
    • lia.zanet.net
    • irc.tsk.ru
    • london.uk.eu.undernet.org
    • washington.dc.us.undernet.org
    • los-angeles.ca.us.undernet.org
    • brussels.be.eu.undernet.org
    • caen.fr.eu.undernet.org
    • flanders.be.eu.undernet.org
    • graz.at.eu.undernet.org
    • moscow-advocat.ru
    • gaz-prom.ru

7. Inicia uma sequência de exploração da vulnerabilidade do LSASS do Windows na porta TCP 445 (descrita em Microsoft Security Bulletin MS04-011), contra endereços IP aleatórios . Se for bem sucedido, o computador remoto pode tentar conectar-se a computadores infectados e fazer o download do worm.

Recomendações

O Symantec Security Response incentiva todos os usuários e administradores a adotarem as "melhores práticas" de segurança básica a seguir:

  • Desativar e remover os serviços desnecessários. Por padrão, muitos sistemas operacionais instalam serviços auxiliares que não são essenciais, como um servidor de FTP, telnet e um servidor da Web. Esses serviços são verdadeiras vias de ataque. Se eles forem removidos, as ameaças combinadas terão menos vias de ataque e você terá menos serviços para atualizar através de patches.
  • Se uma ameaça combinada explorar um ou mais serviços de rede, desative ou bloqueie o acesso a esses serviços até que um patch seja aplicado.
  • Mantenha sempre seus níveis de patch atualizados, especialmente em computadores que hospedam serviços públicos e que podem ser acessados através do firewall, como serviços de HTTP, FTP, correio e DNS (por exemplo, todos os computadores baseados em Windows devem ter o Service Pack atual instalado).. Além disso, aplique todas as atualizações de segurança mencionadas neste relatório, em boletins de segurança confiáveis ou em websites de fornecedores.
  • Adote uma política de senha. As senhas complexas dificultam a quebra dos arquivos de senha em computadores comprometidos. Isso contribui para evitar ou limitar os danos quando um computador está comprometido.
  • Configure o servidor de e-mail para bloquear ou remover e-mails que contenham anexos de arquivos geralmente usados para espalhar vírus, como .vbs, .bat, .exe, .pif e .scr.
  • Isole os computadores infectados rapidamente para impedir que sua empresa fique ainda mais comprometida. Faça uma análise posterior e restaure os computadores usando meios confiáveis.
  • Treine os funcionários para não abrir anexos, a menos que os estejam esperando. Além disso, não execute software descarregado da Internet antes de submetê-lo a uma verificação de vírus. A simples visita a um site comprometido pode causar infecções se certas vulnerabilidades do browser não tiverem sido corrigidas.

Elaborado por: Maryl Magee
Oferta Especial
©1995 - 2009 Symantec Corporation
Mapa do site|
Avisos legais|
Política de privacidade|
Contato|
Sites globais|
Contratos de licença