Hab noch mehr Informationen zu Korgo, falls jmd Interesse daran haben sollte
Hab aber grad rausgefunden, dass diese Sicherheitslücke, die der Wurm nutzt, wohl schon mit dem Sicherheitsupdate von Microsoft vom 12.04.2004 geschlossen ist.
--------
Name: W32.Korgo.F
Alias: Worm.Win32.Padobot.e [Kaspersky]
W32/Korgo.worm.g [McAfee]
WORM_KORGO.F [Trend]
Art: Wurm
Größe des Anhangs: 10.752 Bytes
Betriebssystem: Windows XP, Windows 2000
nicht betroffen: Windows 98/Me/NT
Art der Verbreitung: Ausnutzung einer Sicherheitslücke
Verbreitung: gering
Risiko: mittel
Schadensfunktion: Systemabstürze, verminderte Systemleistung
Installation einer Backdoor
bekannt seit: 01.06.2004
Beschreibung:
W32.Korgo ist ein Internetwurm, der sich über eine nicht geschlossene Sicherheitslücke im Betriebssystem Windows XP, Windows 2000 verbreitet.
Es sind mehrere Varianten bekannt, die sich in ihrer Funktion nicht wesentlich unterscheiden.
Es handelt sich um eine Schwachstelle im sog.
Local Security Authority Subsystem Service (LSASS). Diese Schwachstelle ist seit dem 13. April 2004 bekannt. Durch einen Pufferüberlauf ist es einem Angreifer möglich, Programmcode auszuführen und somit
volle Kontrolle über den angegriffenen Computer zu erlangen. Microsoft stellt eine
deutsche Beschreibung dieser Sicherheitslücke zur Verfügung. Die Schwachstelle wird mit dem Sicherheits-Update KB835732 geschlossen.
Für die weitverbreiteten Betriebssysteme Windows 2000 und Windows XP stehen
Updates bereit unter:
Microsoft Windows 2000 (SP2, SP3 und SP4)
Microsoft Windows XP und Microsoft Windows XP SP1
Updates für alle übrigen Windows-Betriebssysteme befinden sich in der Microsoft-Beschreibung zur Sicherheitslücke.
Der Wurm verbreitet sich
nicht über E-Mail-Nachrichten. Computer mit der genannten Sicherheitslücke werden infiziert, wenn Sie
Verbindung zum Internet haben.
Bei der Infektion (oder dem Infektionsversuch) eines Systems kann es zu einer
Fehlermeldung mit anschließendem
automatischen Neustart des Systems kommen.
Bei einem erfolgreichen Angriff lädt
Korgo von dem angreifenden Computer eine Datei auf den angegriffenen Computer und führt diese aus. Damit wird der angegriffene Computer infiziert.
Im infizierten System befindet sich der Wurm in
%System%\<zufälligerName>.exe. Diese Datei ist 10.752 Bytes groß.
Hinweis:
%System% ist eine Systemvariable, die den tatsächlichen Dateipfad enthält. Dieser variiert bei den verschiedenen Windows-Versionen. Beispiel: %System% enthält C:\Windows\System bei Windows 95/98/Me, C:\Winnt\System32 bei Windows NT/2000, und C:\Windows\System32 bei Windows XP.
Mit dem Registrierungs-Schlüssel
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Disk Defragmenter"="%System%\<zufälligerName>.exe"
wird Korgo beim Rechnerstart aktiviert.
Korgo versucht sich an die Datei Explorer.exe anzuhängen. Wenn dieser Versuch erfolgreich ist, taucht der Wurm im Taskmanager nicht mehr als eigener Prozess auf.
Bei der Installation eines Backdoors öffnet Korgo verschiedene Ports, darunter auch die TCP Ports 113 und 3067.