Korgo.A - uciążliwy następca Sassera

W Sieci pojawił się nowy, niebezpieczny robak, który do rozprzestrzeniania się wykorzystuje ten sam błąd w systemie Windows, co osławiony Sasser. Po zainfekowaniu systemu Korgo.A usiłuje połączyć się z kilkoma serwerami oraz "zawiesić" komputer.

Robak rozprzestrzenia się, wykorzystując lukę w zabezpieczeniach modułu LSASS (obecnego w większości wersji systemu Windows). Błąd ów można usunąć, korzystając z udostępnionego już dawno przez Microsoft patcha - pobrać go można tutaj: http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx .

Jeśli komputer nie jest uaktualniony, Korgo.A może zainfekować komputer bez żadnej akcji ze strony użytkownika. Następnie robak modyfikuje Rejestr, tak, by Korgo.A uruchamiany był przy każdym starcie systemu. Kolejnym jego działaniem będzie próba połączenia się z jednym z kilku predefiniowanych serwerów - Korgo.A będzie usiłował pobrać z nich jakiś plik (może to być inny robak). Później "insekt" otwiera porty 113, 2041 i 3067 oraz zaczyna oczekiwać na polecenia od swojego autora.

Zobacz również:

Dwa ostatnie etapy działania robaka to rozpoczęcie skanowania sieci w poszukiwaniu komputerów podatnych na atak Korgo.A oraz zainicjowanie nieskończonej pętli - co po jakimś czasie spowoduje zawieszenie się komputera.

Aby usunąć robaka, należy uaktualnić program antywirusowy i przeprowadzić kompleksowe skanowanie systemu. Jeśli aplikacja wykryje kopie Korgo.A, należy je skasować.


Zobacz również