VIRUSUL SAPTAMANII

W32/Korgo.worm.i Virusul acestei saptamani se adreseaza utilizatorilor de Microsoft Windows si in special celor care nu isi instaleaza patch-urile de securitate de pe site-ul Microsoft. Korgo

W32/Korgo.worm.i
Virusul acestei saptamani se adreseaza utilizatorilor de Microsoft Windows si in special celor care nu isi instaleaza patch-urile de securitate de pe site-ul Microsoft. Korgo speculeaza vulnerabilitatea MS04-011 (CAN-2003-0533)http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx, el se raspandeste sub un nume aleator si permite unui atacator sa preia controlul sistemului. Viermele se copiaza in directorul WINDOWS SYSTEM folosind un nume ales la intamplare si creeaza o cheie in registri pentru a fi rulat la repornirea sistemului: HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\ CurrentVersion\Run "Windows Update" = C:\WINDOWS\System32\[nume fisier infectat].exe. In plus, mai este creata o cheie: HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Wireless. Viermele adauga cod viral in procesul Windows explorer astfel incat explorer.exe asteapta comenzi pe porturile TCP 113, 3067 si alte porturi intamplatoare. El asteapta sa se conecteze la serverele IRC din lista de mai jos pe portul 6667: gaspode.zanet. org.za; lia.zanet.net; london.uk.eu .undernet.org; washington.dc.us .undernet.org; los-angeles.ca.us .undernet.org; brussels.be.eu .undernet.org; caen.fr.eu.undernet.org; flanders.be.eu.undernet.org; graz.at.eu .undernet.org; moscow-advokat.ru; irc.tsk.ru; gaz-prom.ru. Modul de atac al acestui vierme este prin trimiterea de pachete pe portul TCP 445 pentru a identifica potentialele victime. Odata identificata, victima este asaltata prin incarcarea bufferului in LSASS.EXE si executarea codului viral pe calculatorul victima. Acest nou virus subliniaza inca o data necesitatea instalarii patch-urilor de securitate de la Microsoft. De regula, intai apare patch-ul, urmeaza virusul si apoi este creat antivirusul ce il elimina. Pentru a fi protejati este indicat ca antivirusul sa fie actualizat cat mai des, iar toate patch-urile de securitate sa fie instalate. Acest mod simplu de intretinere a tehnicii de calcul va poate scuti de multe batai de cap.