词条 | I-Worm/Korgo.v |
释义 | I-Worm/Korgo.v 病毒长度:9534 病毒类型:网络蠕虫 危害等级:** 影响平台:Win2000/XP I-Worm/Korgo.v在TCP端口445利用LSASS漏洞进行传播,监听256-8191段的任意TCP端口,并具有开后门的功能,可使系统不需权限随意访问,因此可能导致机密数据的丢失并危及安全设置。 传播过程及特征: 1.从蠕虫被执行的文件夹下删除文件:Ftpupd.exe 复制自身为:%Syestem%<随机文件名>.exe 2.创建事件对象u19x,同时打开对象u19,u18,u17,u16,u15, u14,u13i,u13,u12,u11,u10,u18x,u17x,u16x,u15x, u14x,u13x,u12x,u11x,u10x 3.修改注册表:HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run /删除注册表: 下的键值: "Windows Security Manager" "Disk Defragmenter" "System Restore Service" "Bot Loader" "SysTray" "WinUpdate" "Windows Update Service" "avserve.exe" "avserve2.exeUpdate Service" "MS Config v13" /添加键值: "Client"="1" "ID"=<随机值> 到注册表:HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Wireless /添加键值:"Cryptographic Service"="%System%\\<随机文件名>.exe" 到注册表:HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 4.将自身作为线程嵌入Exporer.exe,而后开始运行并有如下操作: /打开从256到8191的任意TCP端口,蠕虫通过这些端口发送自身。 /依赖随机的IP地址在TCP端口445利用LSASS漏洞进行传播,一旦发现目标计算机,它会通过连接感染的计算机去下载蠕虫文件。 /连接下列HTTP服务器,并试图从这些站点升级自身: adult-empire.com asechka.ru citi-bank.ru color-bank.ru crutop.nu cvv.ru fethard.biz filesearch.ru kavkaz.tv kidos-bank.ru konfiskat.org master-x.com mazafaka.ru parex-bank.ru roboxchange.com www.redline.ru xware.cjb.net |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。