论坛: 病毒专区 标题: 防范“考格蠕虫”(Win32.Korgo.F) 复制本贴地址    
作者: linkinpark [linkinpark]    论坛用户   登录
本帖由 [日月双星] 从 << 菜鸟乐园>> 转移而来

蠕虫感染系统后,做以下操作:

1. 从执行蠕虫所在的文件夹中删除Ftpupd.exe文件。

2. 从注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 删除下列键值:

  “System Service Manager”

  “System Restore Service”

  “Bot Loader”

  “Windows Update Service”

  “WinUpdate”

  “Windows Security Manager”

  “avserve.exe”

  “avserve2.exe”
3. 在注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 中寻找键值: "Update Service"
 
  a. 如果"Update Service" 的值并不存在, 蠕虫则在注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWireless 中加入如下键值:"Client"="1"
  b. 如果 "Update Service"的值存在,但文件的路径不同,则该蠕虫有如下行为:

  c. 拷贝其自身为%System%<random filename>.exe.
注意: %System% 是一个变量. 蠕虫会定为系统文件夹并拷贝其自身到该文件夹中。默认值如下C:WindowsSystem (Windows 95/98/Me), C:WinntSystem32 (Windows NT/2000), 以及 C:WindowsSystem32 (Windows XP).
  d. 在注册表 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRun加入键值"Disk Defragmenter"="%System%<random filename>.exe"
 e. 启动<random filename>.exe, 并结束当前的进程。
4. 企图在Explorer.exe加载一个功能座位线程

  如果成功的话该线程将继续在Explorer.exe 进程中运行。所有下列步骤中的行为将显示是Explorer.exe进程所为,并且该蠕虫将不会在Windows中的任务管理器中显示。
  如果没有成功,他还将作为他自身的进程运行。
5. 创建额外的线程并且做如下步骤:

  注意: 当蠕虫建立下面线程, 它防止计算机关机和重启。
 打开TCP 113, 3067端口和其他的随机端口。此蠕虫将键听这些端口并且在他受到特定的消息后,他将拷贝其自身到远程电脑中。

 企图在TCP445端口上利用LSASS漏洞 (参看微软公告Microsoft Security Bulletin MS04-011)来针对随机IP地址。如果蠕虫成功发现一个存在漏洞的电脑,该电脑将会试图通过一个蠕虫打开得端口连接回被感染的电脑。

 试图连接到如下的IRC服务器当中并且接收命令:

  gaspode.zanet.org.za
  lia.zanet.net
  irc.tsk.ru
  london.uk.eu.undernet.org
  washington.dc.us.undernet.org
  los-angeles.ca.us.undernet.org
  brussels.be.eu.undernet.org
  caen.fr.eu.undernet.org
  flanders.be.eu.undernet.org
  graz.at.eu.undernet.org
  moscow-advocat.ru
  gaz-prom.ru
受影响的平台:


 Microsoft windows 2000
 Microsoft windows XP

解决方案:


  个人用户:

 1.安装相应的补丁程序

 2.如果无法及时安装补丁程序,请使用防火墙阻断以下端口的数据连接445/tcp、113/tcp、3067/tcp。
补丁下载:

 http://www.microsoft.com/china/technet/security/bulletin/ms04-011.mspx



地主 发表时间: 04-07-30 18:58

回复: pyion [pyion]   论坛用户   登录
杂没人顶呵

是真的还是假的??

B1层 发表时间: 04-07-30 19:10

论坛: 病毒专区

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号