I-Worm/Korgo.ab

病毒长度：9,539 字节

病毒类型：网络蠕虫

危害等级：**

影响平台：Win2000/XP

I-Worm/Korgo.ab在TCP端口445利用LSASS漏洞进行传播，试图从远程站点下载执行文件，并具有开后门的功能，可使系统不需权限随意访问，因此可能导致机密数据的丢失并危及安全设置。

传播过程及特征：

1.从蠕虫被执行的文件夹下删除文件：Ftpupd.exe

复制自身为：%Syestem%<随机文件名>.exe

2.创建互斥体：u8 ，u9 ，u10 ，u10x ，u11 ，u11x ，u12

，u12x ，u13 ，u13i ，u13x ，u14 ，u14x ，u15 ，

u15x ，u16 ，u16x ，u17 ，u17x ，u18 ，u18x ，u19

，u19x ，u20 ，u20x，保证一个蠕虫例程的运行。

3.修改注册表：

/删除注册表：HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

下的键值：

"Windows Security Manager"

"Disk Defragmenter"

"System Restore Service"

"Bot Loader"

"SysTray"

"WinUpdate"

"Windows Update Service"

"avserve.exe"

"avserve2.exeUpdate Service"

"MS Config v13"

"Windows Update"

/添加键值：

"Client"="1"

"ID"=<随机值>

到注册表：HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Wireless

/添加键值：

"System Update"="%Syestem%<随机文件名>.exe"

"Cryptographic Service"="%Syestem%<随机文件名>.exe"

到注册表：HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

4.将自身作为线程嵌入Exporer.exe，而后开始运行并有如下操作：

/打开TCP端口113，5111和从256到8191的任意端口，蠕虫通过这些端口发送自身。

/依赖随机的IP地址在TCP端口445利用LSASS漏洞进行传播，一旦发现目标计算机，它会通过连接感染的计算机去下载蠕虫文件。

/连接下列HTTP服务器，并试图从这些站点升级自身：

adult-empire.com

asechka.ru

citi-bank.ru

color-bank.ru

crutop.nu

fethard.biz

filesearch.ru

kavkaz.tv

kidos-bank.ru

konfiskat.org

master-x.com

mazafaka.ru

parex-bank.ru

roboxchange.com

www.redline.ru

xware.cjb.net