Strict Standards: Accessing static property Database::$database as non static in /home/manual/public_html/includes/class/Database.class.php on line 26
Manual informática de w32/korgo.r

w32/korgo.r

Imagen biografía
Categoría: Gusanos
Valora este manual:





 
Enviada por: Administrador

Manual de informática de w32/korgo.r

w32.korgo.r
tipo: gusano
tama?o: 11,391 bytes
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.6 al 25/06/2004 descripción:
w32/korgo.r , es una variante del gusano w32/korgo.m, se aprovecha de la vulnerabilidad lsass buffer overrun, descrito en el bolet?n de seguridad ms04-011 de microsoft:
http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx
el gusano abre el puerto tcp 113 y puertos aleatorios entre 2000 y 8191.
cuando el gusano se ejecuta elimina el archivo ftpupd.exe de la carpeta donde el gusano es ejecutado, seguidamente crea los siguientes mutex u8, u9, u10, u11, u12, u13, u13i, u13.2i, u14 y uterm13.2i que permiten que solo una instancia del gusano se ejecute en memoria.
luego se copia a si mismo en:
system \[nombre aleatorio].exe
nota:
system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32 ).
adem?s crea la siguiente entrada en el registro para poder ejecutarse en cada reinicio del sistema:
hkey_local_machine\software\microsoft\windows\currentversion\run
system update= system \[nombre aleatorio].exe
luego elimina los siguientes valores:
winupdate
windows update service
windows security manager
system restore service
systray
disk defragmenter
ms config v13
avserve.exe
avserve2.exeupdate service
bot loader
que encuentre en la siguiente entrada del registro:
hkey_local_machine\software\microsoft\windows\currentversion\run
seguidamente adiciona el siguiente valor:
hkey_local_machine\software\microsoft\wireless
client=1
luego el gusano intenta inyectarse como un hilo m?s con una funci?n dentro de una ventana de clase llamada shell_traywnd. si se realiza satisfactoriamente, el hilo continua ejecut?ndose dentro del proceso, la ejecuci?n del gusano no se mostrar? en la lista de procesos activos del administrador de tareas de windows. caso contrario si no se realiza satisfactoriamente, el gusano continua ejecut?ndose con su propio proceso.
tambi?n intenta conectarse a uno de los siguientes servidores http:
broadway.ny.us.dal.net brussels.be.eu.undernet.org caen.fr.eu.undernet.org ced.dal.net coins.dal.net diemen.nl.eu.undernet.org flanders.be.eu.undernet.org gaspode.zanet.org.za graz.at.eu.undernet.org lia.zanet.net london.uk.eu.undernet.org los-angeles.ca.us.undernet.org lulea.se.eu.undernet.org moscow-advokat.ru ozbytes.dal.net qis.md.us.dal.net vancouver.dal.net viking.dal.net washington.dc.us.undernet.org finalmente genera direcciones ip aleatorias e intenta infectarlas aprovech?ndose de la vulnerabilidad lsass. si logra accesar el gusano env?a instrucciones a trav?s del puerto tcp 445 para descargar una copia del gusano y ejecutarlo.


Comparte este manual:


Comparte este manual por email con un amigo/a:

Tu nombre
Tu email
El nombre de tu amigo
El email de tu amigo