Inca un Korgo apare in retele

Korgo.C este o noua varianta din familia “Korgo“ care exploateaza vulnerabilitatea LSASS din Windows, descrisa in buletinul de securitate al Microsoft MS04-011. In momentul executiei, Korgo.C va sterge fisierul ftpupd.exe din folderul din care este executat si va adauga valoarea “Client“=“1“ in cheia HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Wireles

Va sterge apoi valorile “WinUpdate“, “Windows Security Manager“, “avserve.exe“, “avserve2.exe“ din cheia: HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/ Run. De asemenea, viermele va incerca exploatarea vulnerabilitatii LSASS pentru adrese IP aleatoare, iar daca un sistem este gasit vulnerabil, va incerca descarcarea viermelui.

Daca ati fost luati “prin surprindere“ de acest virus, gasiti un utilitar de dezinfectie la adresa: http://securityresponse.symantec.com/avcenter/venc/data/w32.korgo.c.html

DETALII

Nume: W32.Korgo.C

Tip: Vierme

Lungime: 10,240 biti

Sisteme afectate: Windows 2000, Windows XP

Sisteme neafectate: Windows 95, Windows 98, Windows Millenium, DOS, Linux, Macintosh OS X, OS/2, OS/2, UNIX