20CN网络安全小组论坛 - 病毒专区 - 防范“考格蠕虫”(Win32.Korgo.F)

论坛: 病毒专区标题: 防范“考格蠕虫”(Win32.Korgo.F)

复制本贴地址

作者: linkinpark [linkinpark]

论坛用户

本帖由 [日月双星] 从 << 菜鸟乐园>> 转移而来

蠕虫感染系统后，做以下操作：

1. 从执行蠕虫所在的文件夹中删除Ftpupd.exe文件。

2. 从注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 删除下列键值：

“System Service Manager”

“System Restore Service”

“Bot Loader”

“Windows Update Service”

“WinUpdate”

“Windows Security Manager”

“avserve.exe”

“avserve2.exe”
3. 在注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 中寻找键值: "Update Service"

a. 如果"Update Service" 的值并不存在, 蠕虫则在注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWireless 中加入如下键值："Client"="1"
b. 如果 "Update Service"的值存在，但文件的路径不同，则该蠕虫有如下行为：

c. 拷贝其自身为%System%<random filename>.exe.
注意: %System% 是一个变量. 蠕虫会定为系统文件夹并拷贝其自身到该文件夹中。默认值如下C:WindowsSystem (Windows 95/98/Me), C:WinntSystem32 (Windows NT/2000), 以及 C:WindowsSystem32 (Windows XP).
d. 在注册表 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRun加入键值"Disk Defragmenter"="%System%<random filename>.exe"
　e. 启动<random filename>.exe, 并结束当前的进程。
4. 企图在Explorer.exe加载一个功能座位线程

如果成功的话该线程将继续在Explorer.exe 进程中运行。所有下列步骤中的行为将显示是Explorer.exe进程所为，并且该蠕虫将不会在Windows中的任务管理器中显示。
如果没有成功，他还将作为他自身的进程运行。
5. 创建额外的线程并且做如下步骤：

注意: 当蠕虫建立下面线程, 它防止计算机关机和重启。
　打开TCP 113, 3067端口和其他的随机端口。此蠕虫将键听这些端口并且在他受到特定的消息后，他将拷贝其自身到远程电脑中。

　企图在TCP445端口上利用LSASS漏洞 (参看微软公告Microsoft Security Bulletin MS04-011)来针对随机IP地址。如果蠕虫成功发现一个存在漏洞的电脑，该电脑将会试图通过一个蠕虫打开得端口连接回被感染的电脑。

　试图连接到如下的IRC服务器当中并且接收命令：

gaspode.zanet.org.za
lia.zanet.net
irc.tsk.ru
london.uk.eu.undernet.org
washington.dc.us.undernet.org
los-angeles.ca.us.undernet.org
brussels.be.eu.undernet.org
caen.fr.eu.undernet.org
flanders.be.eu.undernet.org
graz.at.eu.undernet.org
moscow-advocat.ru
gaz-prom.ru
受影响的平台：

　Microsoft windows 2000
　Microsoft windows XP

解决方案：

个人用户：

　1.安装相应的补丁程序

　2.如果无法及时安装补丁程序，请使用防火墙阻断以下端口的数据连接445/tcp、113/tcp、3067/tcp。
补丁下载：

　http://www.microsoft.com/china/technet/security/bulletin/ms04-011.mspx

地主发表时间: 04-07-30 18:58

回复: pyion [pyion]

论坛用户

杂没人顶呵

是真的还是假的？？

B1层发表时间: 04-07-30 19:10

论坛: 病毒专区