Win32.Worm.Korgo.R - Virensignatur

Symptome :

%random%.exe (9,344 bytes)

- Präsenz des folgenden Registry Key, der auf die o.g. Datei hinweist:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \CurrentVersion\ Run\"Windows Update"="%SYSTEM%\%random%.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Wireless\"ID"="%random2%"]

wo
%random% ein String aus 5 bis 12 zufälligen Buchstaben ist
%random2% ein String aus 10 bis 20 zufälligen Buchstaben ist

%WINDOWS% weist auf den Windows Ordner (oder WinNT bei Windows NT Systemen)
%SYSTEM% weist auf den "System" Ordner bei Windows 9x Systemen und "System32" Ordner bei WinNT Systemen.

Technische Beschreibung:

Diese Version ist ein geringfügiger Update von Win32.Worm.Korgo.P

Einmal gestartet macht der Virus Folgendes:

Er versucht die Datei "ftpupd.exe" zu vernichten, schafft den Mutex "uterm18", um eine doppelte Ausführung zu verhindern, und , wenn kein Fehler auftritt, richtet er seine erlangten Vorrechte ein:

Danach versucht er folgende Entries aus dem Start-up Key zu löschen:

"HKLM\Software\Microsoft\Windows\CurrentVersion\Run":

Windows Security Manager
Disk Defragmenter
System Restore Service
Bot Loader
SysTray
WinUpdate
Windows Update Service
avserve.exe
avserve2.exeUpdate Service
MS Config v13

Gleichzeitig versucht er alle Prozesse zu stoppen, die einen der oben genannten Strings in ihrem Namen enthalten.

Danach wird "HKLM\Software\Microsoft\Wireless" auf die Präsenz eines "ID" String geprüft; wenn keiner existiert, wird er initialisiert mit einem String aus 13 bis 20 zufälligen Ziffern.

Dann sucht er nach dem "Windows Update" String im "HKLM\Software\Microsoft\Windows\ CurrentVersion\Run" Key und wenn der nicht existiert, schafft er den Strin, der auf eine willkürlich geschaffene Datei, bestehend aus 5 bis 12 Ziffern [rand].exe und kopiert den Wurm nach "%system%\[rand].exe". In diesem Fall setzt er auch einen neuen String "Client" in "HKLM\Software\Microsoft\Wireless" mit dem Wert "1" und führt schließlich die Kopie des Wurmes aus und verlässt die aktuelle Instanz.

Beim nächsten Start versucht der Wurm Folgendes:

- versucht folgende Events zu veranlassen: u10x, u11x, u12x, u13x, u14x, u15x, u16x, u17x und u18x
- schafft folgende Mutexe: u8, u9, u10, u11, u12, u13, u13i, u14, u15, u16, u17 und u18
- schafft drei Threats, die zum Verbreiten und Update Check gebraucht werden
- wählt einen beliebigen Port zwischen 257 und 8191, ausgeschlossen alle Vervielfachungen von 256, auf dem er einen Pseudo HTTP Server schafft, der von einem neuen Thread verwaltet wird
- benutzt den HTTP Server, die erfolgreich eingeholten Exploits und führt die Kopie des Wurmes aus
- die Verzögerung zwischen zwei Update Checks liegt willkürlich zwischen 400.2 bis 700.2 Sekunden
- der Update Thread sucht beliebig auf folgendes Seiten nach Updates:

mazafaka.ru
xware.cjb.net
citi-bank.ru
konfiskat.org
adult-empire.com
parex-bank.ru
kidos-bank.ru
crutop.nu
kavkaz.tv
color-bank.ru
master-x.com
asechka.ru
fethard.biz
roboxchange.com
filesearch.ru
www.redline.ru
cvv.ru

Der Wurm hindert das System am Abschalten, indem er einen Loop betreibt, der alle 5 Sekunden die Systemfunktion Runterfahren beendet.

Entfernung:

[ Zurück zum Anfang ]