Verfügbare Informationen zu "W32.Korgo.F"
Qualität des Beitrags: Beteiligte Poster: 20JahreOnkelz Forum: POWER BOARD Forenbeschreibung: Das ultimative Board aus dem Unterforum: Aktuelle Viren Antworten: 1 Forum gestartet am: Freitag 02.07.2004 Sprache: deutsch Link zum Originaltopic: W32.Korgo.F Letzte Antwort: vor 19 Jahren, 9 Monaten, 20 Tagen, 4 Stunden, 44 Minuten
Alle Beiträge und Antworten zu "W32.Korgo.F"
Re: W32.Korgo.F
20JahreOnkelz - 05.07.2004, 15:03W32.Korgo.F
Aufgrund der steigenden Zahl von Meldungen hat Symantec Security Response diese Bedrohung am 2. Juni 2004 von Kategorie 2 auf Kategorie 3 hochgestuft.
W32.Korgo.F ist eine kleinere Variante von W32.Korgo.E. Der Wurm versucht, sich unter Ausnutzung der Microsoft Windows LSASS-Pufferüberlauf-Schwachstelle (BID 10108) auf dem TCP-Port 445 zu verbreiten. Er überwacht zudem die TCP-Ports 113 und 3067.
TECHNISCHE DETAILS
Bei Ausführung führt W32.Korgo.F folgende Aktivitäten durch:
1. Er löscht die Datei Ftpupd.exe aus dem Ordner, von dem aus der Wurm ausgeführt wurde.
2. Er löscht die Werte:
"System Service Manager"
"System Restore Service"
"Bot Loader"
"Windows Update Service"
"WinUpdate"
"Windows Security Manager"
"avserve.exe"
"avserve2.exe"
aus dem folgenden Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
3. Er sucht den Wert:
"Disk Defragmenter"
im folgenden Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
* Wenn der Wert "Disk Defragmenter" nicht existiert, fügt der Wurm den Wert:
"Client"="1"
dem folgenden Registrierungsschlüssel hinzu:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wireless
* Wenn der Wert "Disk Defragmenter" existiert, doch der Pfad der Datei anders lautet, geht der Wurm so vor:
1. Er kopiert sich selbst nach %System\<Beliebiger Dateiname>.exe.
Hinweis: %System% ist eine Variable. Der Wurm findet den Ordner "System" und kopiert sich dorthin. Standardmäßig ist dies C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000) oder C:\Windows\System32 (Windows XP).
2. Er fügt den Wert
"Disk Defragmenter"="%System%\<Beliebiger Dateiname>.exe"
dem folgenden Registrierungsschlüssel hinzu:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
3. Er startet die Datei <Beliebiger Dateiname>.exe und beendet dann den aktuellen Prozess.
* Wenn der Wert "Disk Defragmenter" existiert und der Wert dem Pfad des Wurms entspricht, löscht er den Wert
"Client"
aus dem Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wireless
4. Er versucht, eine Funktion in die Datei Explorer.exe als Thread einzufügen.
Wenn dies erfolgreich ist, wird diese Bedrohung im Prozess Explorer.exe ausgeführt. Alle im nächsten Schritt beschriebenen Aktionen scheinen durch den Prozess Explorer.exe ausgeführt zu werden, und der Wurm wird beim Anzeigen der Liste der Prozesse im Task-Manager von Windows nicht aufgeführt.
Wenn dies nicht erfolgreich ist, wird die Bedrohung weiterhin als eigener Prozess ausgeführt.
5. Er erstellt zusätzliche Threads und führt folgende Aktionen durch:
Hinweis: Während der Wurm diese Threads erstellt, hindert er den Computer am Herunterfahren oder an einem Neustart.
* Er öffnet die TCP-Ports 113, 3067 und andere beliebige Ports. Der Wurm überwacht diese Ports und wenn er eine bestimmte Meldung erhält, sendet er eine Kopie von sich selbst an den Remote-Computer.
* Er versucht, die LSASS-Windows-Sicherheitslücke auf TCP-Port 445 (beschrieben im Microsoft Security Bulletin MS04-011) gegen beliebige IP-Adressen auszunutzen. Wenn der Wurm einen anfälligen Computer findet, versucht der Computer, auf einem der durch den Wurm geöffneten TCP-Ports eine Rückverbindung zu dem infizierten Computer herzustellen.
* Er versucht, Verbindungen zu einem der folgenden IRC-Server auf dem TCP-Port 6667 herzustellen und Befehle zu erhalten:
o gaspode.zanet.org.za
o lia.zanet.net
o irc.tsk.ru
o london.uk.eu.undernet.org
o washington.dc.us.undernet.org
o los-angeles.ca.us.undernet.org
o brussels.be.eu.undernet.org
o caen.fr.eu.undernet.org
o flanders.be.eu.undernet.org
o graz.at.eu.undernet.org
o moscow-advocat.ru
o gaz-prom.ru
5400-Serie von Symantec Gateway Security und Symantec Gateway Security V. 1.0
* Virenschutzkomponente: Es ist eine Aktualisierung für die Symantec Gateway Security AntiVirus-Engine verfügbar, die Ihr System vor W32.Korgo.F.Worm schützt. Benutzern der 5000-Serie von Symantec Gateway Security wird empfohlen, LiveUpdate auszuführen.
* IDS/IPS-Komponente: Eine Signatur für die 5400-Serie von Symantec Gateway Security, die Angriffe auf die Microsoft LSASS-Sicherheitslücke erkennt, ist in der am 14. April herausgebrachten Sicherheitsaktualisierung SU 8 enthalten. Außerdem wurde eine Signatur für SGS 1.0 herausgebracht, die Angriffe auf die Microsoft LSASS-Schwachstelle erkennt. Benutzern der 5000-Serie von Symantec Gateway Security wird empfohlen, LiveUpdate auszuführen.
* Vollständige Anwendungsinspektions-Firewall-Komponente: Die vollständige Anwendungsinspektions-Firewall-Technologie von Symantec schützt Sie standardmäßig vor dem Wurm W32.Korgo.F.Worm, indem Angreifern der Zugriff auf den TCP-Port 445 sowie die Hintertür-Ports (TCP-Ports 113 und 3067) bei infizierten Computern verwehrt wird. Administratoren wird empfohlen, sicherzustellen, dass die Sicherheitsrichtlinien auf diesen Ports keinen eingehenden Verkehr zulassen. Administratoren sollten ihre Protokolldateien analysieren und nachprüfen, ob bei den internen Systemen fehlgeschlagene Versuche zum Erstellen einer IRC-Sitzung auf dem Ziel-TCP-Port 6667 vermeldet sind. Dies wäre ein mögliches Anzeichen für ein geschädigtes System.
Symantec Enterprise Firewall 8.0
Die vollständige Anwendungsinspektions-Firewall-Technologie von Symantec schützt Sie standardmäßig vor dem Wurm W32.Korgo.F.Worm, indem Angreifern der Zugriff auf den TCP-Port 445 sowie die Hintertür-Ports (TCP-Ports 113 und 3067) bei infizierten Computern verwehrt wird. Administratoren wird empfohlen, sicherzustellen, dass die Sicherheitsrichtlinien auf diesen Ports keinen eingehenden Verkehr zulassen.
Symantec Enterprise Firewall 7.0.x und Symantec VelociRaptor 1.5
Die vollständige Anwendungsinspektions-Firewall-Technologie von Symantec schützt Sie standardmäßig vor dem Wurm W32.Korgo.F.Worm, indem Angreifern der Zugriff auf den TCP-Port 445 sowie die Hintertür-Ports (TCP-Ports 113 und 3067) bei infizierten Computern verwehrt wird. Administratoren wird empfohlen, sicherzustellen, dass die Sicherheitsrichtlinien auf diesen Ports keinen eingehenden Verkehr zulassen.
Symantec Clientless VPN Gateway 4400 Series
Symantec Clientless VPN Gateway v5.0 wird durch diese Bedrohung nicht beeinträchtigt.
Symantec Gateway Security 300 Series
Die vollständige Inspektions-Firewall-Technologie von Symantec schützt Sie standardmäßig davor, dass externe Angreifer bei internen Systemen auf den TCP-Port 445 und auf die Hintertür-Ports (TCP-Ports 113, 3067 oder ein beliebiger Port) bei infizierten Computern zugreifen können. Wir empfehlen Administratoren, sicherzustellen, dass die Sicherheitsrichtlinien keinen eingehenden Verkehr auf den TCP-Ports 445, 113 und 3067 zulassen. Außerdem sollte die AVpe-Funktion der 300-Serie von SGS verwendet werden, um sicherzustellen, dass alle AV-Clients über die aktuellsten Virusdefinitionen verfügen.
100/200-Serie von Symantec Firewall/VPN
Die vollständige Inspektions-Firewall-Technologie von Symantec schützt Sie standardmäßig davor, dass Angreifer bei internen Systemen auf den TCP-Port 445 und auf die Hintertür-Ports (TCP-Ports 113 und 3067 oder ein beliebiger Port) bei infizierten Computern zugreifen können.
Symantec ManHunt
Am 13. April 2004 wurde das Security Update 22 herausgebracht, mit dem alle Versuche, die LSASS-Sicherheitslücke auszunutzen, mit der Signatur "Microsoft RPC LSASS DS Request" erkannt werden. Daher waren Benutzer von Symantec ManHunt bereits geschützt und zu keinem Zeitpunkt anfällig, als W32.Korgo.F.Worm in Umlauf gebracht wurde.
Symantec Security Response bietet diese Vorschläge über die Einstellungen Ihrer Symantec-Produkte an, um die Folgen der Bedrohung zu mildern.
Symantec Enterprise Firewall
* Stellen Sie sicher, dass Ihre Sicherheitsrichtlinien keinen eingehenden Verkehr auf den TCP-Ports 445, 113 und 3067 zulassen.
Symantec Gateway Security
* Führen Sie LiveUpdate auf der Appliance aus, um die aktuellsten Virusdefinitionen und IDS/IPS-Definitionen zu erhalten.
*
* Stellen Sie sicher, dass Ihre Sicherheitsrichtlinien keinen eingehenden Verkehr auf den TCP-Ports 445, 113 und 3067 zulassen.
Wenn Ihre Sicherheitseinstellungen es jedoch erfordern, dass Zugriff auf den TCP-Port 445 zugelassen wird (Microsoft-Netzwerke), stellen Sie sicher, dass Sie GATING (IPS) für die MS LSASS-Angrifffssignatur aktivieren.
Symantec Clientless VPN
* Stellen Sie sicher, dass der Zugriff auf internen Systemen auf die TCP-Ports 445, 113 oder 3067 durch keine Regel zugelassen wird.
*
Stellen Sie sicher, dass Ihre Benutzer auf ihren Computern LiveUpdate ausführen.
Symantec Gateway Security 300 Appliance
* Stellen Sie sicher, dass Ihre Sicherheitsrichtlinien KEINE eingehenden Verbindungen auf die TCP-Ports 445, 113 und 3067 zulassen (diese sind standardmäßig gesperrt).
*
* Konfigurieren Sie die AV Policy Enforcement-Funktion auf Ihren Gateways so, dass Ihre Symantec Antivirus Corporate Edition- und Symantec Client Security-Desktops über die aktuellsten Virusdefinitionen verfügen.
Führen Sie LiveUpdate auf Ihren Desktop-AV-Clients aus und weisen Sie alle Ihre Benutzer an, eine vollständige Prüfung ihrer Arbeitsplatzcomputer durchzuführen.
Symantec Firewall / VPN Appliance
* Stellen Sie sicher, dass Ihre Sicherheitsrichtlinien KEINE eingehenden Verbindungen auf die TCP-Ports 445, 113 und 3067 zulassen (diese sind standardmäßig gesperrt).
*
Führen Sie LiveUpdate auf Ihren Desktop-AV-Clients aus und weisen Sie alle Ihre Benutzer an, eine vollständige Prüfung ihrer Arbeitsplatzcomputer durchzuführen.
Symantec Security Response empfiehlt allen Anwendern und Administratoren, die folgenden grundlegenden Sicherheitsregeln einzuhalten:
* Beenden und entfernen Sie all nicht benötigten Dienste. Viele Betriebssysteme installieren automatisch Hilfsprogramme, die nicht kritisch sind, wie FTP-Clients, Telnet und einen Internetbrowser. Diese Dienste öffnen Angriffen Tür und Tor. Wenn Sie entfernt werden, bestehen weniger Angriffsflächen und Sie haben weniger Programme zu pflegen.
* Wenn eine komplexe Bedrohung über mehr als ein Netzwerkdienst verteilt wird, werden diese deaktiviert oder blockiert, bis ein Patch ausgeführt wurde.
* Halten Sie Ihre Patches immer auf dem neuesten Stand, besonders auf den Computern, auf denen öffentliche Dienste angeboten werden und auf die durch eine Firewall über z. B. http, FTP, E-Mail und DNS-Dienste zugegriffen werden kann.
* Richten Sie einen Passwortschutz ein. Komplexe Kennwörter erschweren den Einbruch in Kennwortdateien auf beschädigten Computern. Dies hilft Ihnen, die Folgen eines Computereinbruchs zu mindern.
* Stellen Sie Ihren E-Mail-Server so ein, dass E-Mails, die Dateianhänge enthalten, über die häufig Viren verbreitet werden, wie Dateien mit der Endung .vbs, .bat, .exe, .pif und .scr, blockiert oder entfernt werden.
* Isolieren Sie infizierte Computer schnell, um weiteren Schaden zu vermeiden. Führen Sie eine forensische Analyse durch und reparieren Sie den Computer mit Hilfe vertraulicher Medien.
* Schulen Sie Ihre Angestellten daraufhin, keine Anhänge zu öffnen, wenn diese unaufgefordert eingesendet werden. Führen Sie ebenfalls keine Software aus, die aus dem Internet geladen wurde, wenn die Dateien zuvor nicht auf Viren geprüft wurden. Schon der einfache Besuch einer beschädigten Internetseite kann eine Infektion hervorrufen, wenn bestimmte Browserschäden nicht repariert werden.
Mit folgendem Code, können Sie den Beitrag ganz bequem auf ihrer Homepage verlinken
Weitere Beiträge aus dem Forum POWER BOARD
Ähnliche Beiträge wie "W32.Korgo.F"
W32.Sasser.B.Worm - driver87 (Samstag 03.07.2004)
W32.Netsky.Q@mm - 20JahreOnkelz (Montag 05.07.2004)
W32.Netsky.Y@mm - driver87 (Samstag 03.07.2004)
W32.Sober.F@mm - 20JahreOnkelz (Montag 05.07.2004)