Nový červ, kterého antivirové společnosti pojmenovaly Korgo.A, pokračuje ve šlépějích svých známějších kolegů Sasser a spol. Opět ke svému životu zneužívá bezpečnostní chybu v LSASS, která je podrobně popsána v
Microsoft Security Bulletinu MS04-011.
Pokud nemáte „zazáplatováno“ a nepoužíváte firewall, můžete se tak stát snadným terčem i pro červa Korgo.A. Pokud se tak skutečně stane, dojde na napadeném počítači k těmto činnostem:
Červ se pokusí smazat soubor go.exe ve stejném adresáři, ze kterého se spustí. Svůj kód dále nakopíruje do složky WINDOWS\SYSTEM pod náhodným jménem s příponou EXE.
Červ naslouchá a reaguje na provoz na následujících TCP portech:
- 113
- 2041 (POZNÁMKA: Červ se původně pokouší naslouchat na náhodném čísle portu, nicméně díky chybě v jeho kódu vždy skončí u čísla 2041)
- 3067
Dále se červ pokouší připojit na následující IRC servery na port 6667:
- moscow-advokat.ru
- graz.at.eu.undernet.org
- flanders.be.eu.undernet.org
- caen.fr.eu.undernet.org
- brussels.be.eu.undernet.org
- los-angeles.ca.us.undernet.org
- washington.dc.us.undernet.org
- london.uk.eu.undernet.org
- lia.zanet.net
- gaspode.zanet.org.za
- irc.kar.net
Jak je již u červů zneužívajících chybu v LSASS zvykem, zkouší se i Korgo.A neustále připojovat na náhodně generované IP adresy na TCP port 445. Pokud se připojení zdaří, pokusí se využít chyby a donutit vzdálený počítač ke stažení a aktivaci kódu červa.
A aby z toho napadený uživatel nevyšel nadarmo, červ mu zhruba každou minutu zrestartuje počítač, což je pro spoustu lidí nepřekonatelná překážka například pro stažení jednorázového odstraňovače nebo aktualizace antiviru. Na systému Windows XP automatický restart zrušíte spuštěním příkazu „shutdown –a“.
Zdroj: Symantec
