w32/korgo.o

Imagen biografía
Categoría: Gusanos
Valora este manual:





 
Enviada por: Administrador

Manual de informática de w32/korgo.o

w32.korgo.o
tipo: gusano
tama?o: 9,343 bytes
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.6 al 22/06/2004 descripción:
w32/korgo.o , es una variante del gusano se aprovecha de la vulnerabilidad lsass buffer overrun, descrito en el bolet?n de seguridad ms04-011 de microsoft:
http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx
el gusano abre los puertos tcp 113, 5111 y puertos aleatorios entre 256 y 8191.
cuando el gusano se ejecuta elimina el archivo ftpupd.exe de la carpeta donde el gusano es ejecutado, seguidamente crea los siguientes mutex u8, u9, u10, u11, u12, u13, u14 y uterm14 que permiten que solo una instancia del gusano se ejecute en memoria.
luego se copia a si mismo en:
system \[nombre aleatorio].exe
nota:
system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32 ).
adem?s crea la siguiente entrada en el registro para poder ejecutarse en cada reinicio del sistema:
hkey_local_machine\software\microsoft\windows\currentversion\run
windows update= system \[nombre aleatorio].exe
luego elimina los siguientes valores:
winupdate
windows update service
windows security manager
system restore service
systray
disk defragmenter
ms config v13
avserve.exe
avserve2.exeupdate service
bot loader
que encuentre en la siguiente entrada del registro:
hkey_local_machine\software\microsoft\windows\currentversion\run
seguidamente adiciona el siguiente valor:
hkey_local_machine\software\microsoft\wireless
client=1
id=[valor aleatorio]
luego el gusano intenta inyectarse como un hilo m?s con una funci?n dentro del explorer.exe. si se realiza satisfactoriamente, el hilo continua ejecut?ndose dentro del proceso del explorer.exe, la ejecuci?n del gusano no se mostrar? en la lista de procesos activos del administrador de tareas de windows. caso contrario si no se realiza satisfactoriamente, el gusano continua ejecut?ndose con su propio proceso.
tambi?n intenta conectarse a uno de los siguientes servidores http:
adult-empire.com asechka.r citi-bank.ru color-bank.ru crutop.nu cvv.ru fethard.biz filesearch.ru fuck.ru goldensand.ru hackers.lv kavkaz.ru kidos-bank.ru konfiskat.org lovingod.host.sk master-x.com mazafaka.ru padonki.org parex-bank.ru trojan.ru www.redline.ru xware.cjb.net finalmente genera direcciones ip aleatorias e intenta infectarlas aprovech?ndose de la vulnerabilidad lsass. si logra accesar el gusano env?a instrucciones a trav?s del puerto tcp 445 para descargar una copia del gusano y ejecutarlo.


Comparte este manual:


Comparte este manual por email con un amigo/a:

Tu nombre
Tu email
El nombre de tu amigo
El email de tu amigo