请输入您要查询的百科知识:

 

词条 I-Worm/Korgo.v
释义

I-Worm/Korgo.v

病毒长度:9534

病毒类型:网络蠕虫

危害等级:**

影响平台:Win2000/XP

I-Worm/Korgo.v在TCP端口445利用LSASS漏洞进行传播,监听256-8191段的任意TCP端口,并具有开后门的功能,可使系统不需权限随意访问,因此可能导致机密数据的丢失并危及安全设置。

传播过程及特征:

1.从蠕虫被执行的文件夹下删除文件:Ftpupd.exe

复制自身为:%Syestem%<随机文件名>.exe

2.创建事件对象u19x,同时打开对象u19,u18,u17,u16,u15,

u14,u13i,u13,u12,u11,u10,u18x,u17x,u16x,u15x,

u14x,u13x,u12x,u11x,u10x

3.修改注册表:HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

/删除注册表:

下的键值:

"Windows Security Manager"

"Disk Defragmenter"

"System Restore Service"

"Bot Loader"

"SysTray"

"WinUpdate"

"Windows Update Service"

"avserve.exe"

"avserve2.exeUpdate Service"

"MS Config v13"

/添加键值:

"Client"="1"

"ID"=<随机值>

到注册表:HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Wireless

/添加键值:"Cryptographic Service"="%System%\\<随机文件名>.exe"

到注册表:HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

4.将自身作为线程嵌入Exporer.exe,而后开始运行并有如下操作:

/打开从256到8191的任意TCP端口,蠕虫通过这些端口发送自身。

/依赖随机的IP地址在TCP端口445利用LSASS漏洞进行传播,一旦发现目标计算机,它会通过连接感染的计算机去下载蠕虫文件。

/连接下列HTTP服务器,并试图从这些站点升级自身:

adult-empire.com

asechka.ru

citi-bank.ru

color-bank.ru

crutop.nu

cvv.ru

fethard.biz

filesearch.ru

kavkaz.tv

kidos-bank.ru

konfiskat.org

master-x.com

mazafaka.ru

parex-bank.ru

roboxchange.com

www.redline.ru

xware.cjb.net

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2025/3/14 18:13:18