virus-informer.de: Warnung vor Korgo.F

09.06.04 19:45 Age: 6 yrs

Warnung vor Korgo.F

By: admin

Bisher räumt nur der Antviren-Hersteller Symantec dem Wurm eine hohe Gefährlichkeitsstufe ein.

Für Verunsicherung bei Anwendern sorgen Meldungen, Korgo würde auf infizierten Systemen Online-Banking-Passwörter ausspähen und nach Kreditnummern suchen. Einen Automatismus das der Wurm Online-Passwörter ausspäht gibt es zwar nicht,allerdings ist eine Wahrscheinlichkeit bei infizierten Systemen, in der nächsten Zeit unerwünschten Besuch über das Internet zu bekommen hoch. Anwender sollten also ihr System schleunigst vom Wurm und den Backdoors befreien. :)

Name: W32.Korgo.F

Alias: Worm.Win32.Padobot.e [Kaspersky]

W32/Korgo.worm.g [Mc Afee]

Worm_KORGO.F [Trend]

Art: Wurm

Größe des Anhangs: 10.752 Bytes

Betriebssystem: Windows XP, Windows 2000

nicht betroffen Windows 98/Me/NT

Art der Verbreitung: Ausnutzung einer Sicherheits- lücke

Verbreitung: gering

Risiko: mittel

Schadensfunktion: verminderte Systemleistung, Systemabstürze, Installation einer Backdoor

Spezielle Entfernung: Tool

bekannt seit: 01.06.2004

Beschreibung:

W32.Korgo ist ein Internetwurm, der sich über eine nicht geschlossene Sicherheitslücke im Betriebssystem Windows XP, Windows 2000 verbreitet.

Es handelt sich um eine Schwachstelle im sog. Local Security Authority Subsystem Service (LSASS).

Durch einen Pufferüberlauf ist es einem Angreifer möglich, Programmcode auszuführen und somit volle Kontrolle über den angegriffenen Computer zu erlangen.

Die Schwachstelle wirde mit dem Sicherheitsupdate KB 835732 geschlossen.

Keine Verbreitung über E-Mail-Nachrichten.

Computer mit der Sicherheitslücke kann nur während Internet-Verbindung infiziert werden. Bei Infektion kann es zu einer Fehlermeldung mit anschließendem automatischen Neustart des Systems kommen.

Korgo.F kopiert während des Angriffs verschiedene Dateien in das System.

%System%\.exe

Hinweis: %System% ist eine Systemvariable, die den tatsächlichen Dateipfad enthält. Dieser variiert bei den verschiedenen Windows-Versionen.

Beispiel: %System% enthält C:\Windows\System bei Windows 95/98/Me, C:\Winnt\System 32 bei Windows NT/2000, und C:\Windows\System32 bei Windows XP.

Korgo wird durch den Registrierungs-Schlüssel:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Disk Defragmenter"="%System%\.exe" bei Rechnerstart aktiviert.

<- Back to: virus-informer.de


	09.06.04 19:45 Age: 6 yrs Warnung vor Korgo.F By: admin Bisher räumt nur der Antviren-Hersteller Symantec dem Wurm eine hohe Gefährlichkeitsstufe ein. Für Verunsicherung bei Anwendern sorgen Meldungen, Korgo würde auf infizierten Systemen Online-Banking-Passwörter ausspähen und nach Kreditnummern suchen. Einen Automatismus das der Wurm Online-Passwörter ausspäht gibt es zwar nicht,allerdings ist eine Wahrscheinlichkeit bei infizierten Systemen, in der nächsten Zeit unerwünschten Besuch über das Internet zu bekommen hoch. Anwender sollten also ihr System schleunigst vom Wurm und den Backdoors befreien. :) Name: W32.Korgo.F Alias: Worm.Win32.Padobot.e [Kaspersky] W32/Korgo.worm.g [Mc Afee] Worm_KORGO.F [Trend] Art: Wurm Größe des Anhangs: 10.752 Bytes Betriebssystem: Windows XP, Windows 2000 nicht betroffen Windows 98/Me/NT Art der Verbreitung: Ausnutzung einer Sicherheits- lücke Verbreitung: gering Risiko: mittel Schadensfunktion: verminderte Systemleistung, Systemabstürze, Installation einer Backdoor Spezielle Entfernung: Tool bekannt seit: 01.06.2004 Beschreibung: W32.Korgo ist ein Internetwurm, der sich über eine nicht geschlossene Sicherheitslücke im Betriebssystem Windows XP, Windows 2000 verbreitet. Es handelt sich um eine Schwachstelle im sog. Local Security Authority Subsystem Service (LSASS). Durch einen Pufferüberlauf ist es einem Angreifer möglich, Programmcode auszuführen und somit volle Kontrolle über den angegriffenen Computer zu erlangen. Die Schwachstelle wirde mit dem Sicherheitsupdate KB 835732 geschlossen. Keine Verbreitung über E-Mail-Nachrichten. Computer mit der Sicherheitslücke kann nur während Internet-Verbindung infiziert werden. Bei Infektion kann es zu einer Fehlermeldung mit anschließendem automatischen Neustart des Systems kommen. Korgo.F kopiert während des Angriffs verschiedene Dateien in das System. %System%\.exe Hinweis: %System% ist eine Systemvariable, die den tatsächlichen Dateipfad enthält. Dieser variiert bei den verschiedenen Windows-Versionen. Beispiel: %System% enthält C:\Windows\System bei Windows 95/98/Me, C:\Winnt\System 32 bei Windows NT/2000, und C:\Windows\System32 bei Windows XP. Korgo wird durch den Registrierungs-Schlüssel: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Disk Defragmenter"="%System%\.exe" bei Rechnerstart aktiviert. <- Back to: virus-informer.de
home Impressum