词条 | Worm/Korgo.i |
释义 | I-Worm/Korgo.i 病毒长度:10,879 字节 病毒类型:网络蠕虫 危害等级:** 影响平台:Win2000/XP I-Worm/Korgo.i通过LSASS漏洞进行传播,监听TCP端口113、3067以及从256到8191的任意端口,并具有开后门的功能,可使系统不需权限随意访问,因此可能导致机密数据的丢失并危及安全设置。 传播过程及特征: 1.从蠕虫被执行的文件夹下删除文件:Ftpupd.exe。 2.修改注册表: /从注册表:HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 删除下列键值: "Windows Security Manager" "Disk Defragmenter" "System Restore Service" "Bot Loader" "WinUpdate" "Windows Update Service" "avserve.exe" "avserve2.exeUpdate Service" /从注册表:HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 查找键值:"Windows Update" 不存在: 则在注册表:HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Wireless 下添加键值:"Client"="1" 存在但文件路径不同: 则首先复制自身为:%System%\\<随机文件名>.exe 然后添加键值:"Windows Update" ="%System%\\<随机文件名>.exe" 到注册表:HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 最后运行此文件并中止当前进程。 存在并且蠕虫路径正确: 删除注册表:HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Wireless 下的键值:"Client" 3.将自身作为线程嵌入Exporer.exe进程,而后开始运行并有如下操作: /打开TCP端口113,3067和从256到8191的任意端口进行监听,并在此接收信息,发送蠕虫副本到远程计算机。 /依赖随机的IP地址在TCP端口445利用LSASS漏洞进行传播,一旦发现目标计算机,它会通过蠕虫打开的TCP端口连接到感染的计算机。 /在TCP端口6667连接下列IRC服务器,并在此接收指令。 moscow-advokat.ru graz.at.eu.undernet.org flanders.be.eu.undernet.org caen.fr.eu.undernet.org brussels.be.eu.undernet.org los-angeles.ca.us.undernet.org washington.dc.us.undernet.org london.uk.eu.undernet.org irc.tsk.ru lia.zanet.net gaspode.zanet.org.za irc.kar.net 注:%Windir%为变量,一般为C:\\Windows 或 C:\\Winnt; %System%为变量,一般为C:\\Windows\\System (Windows 95/98/Me), C:\\Winnt\\System32 (Windows NT/2000), 或 C:\\Windows\\System32 (Windows XP)。 |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。