Virusul saptamanii: win32.Worm.Korgo.R

Korgo isi continua misiunea

A 18-a versiune a viermelui Korgo se raspadeste exploatand vulnerabilitatea Microsoft Windows LSASS Buffer Overrun (MS04-011). Odata executat, virusul va incerca sa stearga fisierul “ftpupd.exe“, creeaza mutex-ul “uterm18“ pentru a evita inceperea simultana a unui proces duplicat.

Pentru miscarea urmatoare va incerca sa stearga urmatoarele intrari din start-up: “HKLMSoftwareMicrosoftWindowsCurrentVersionRun“: Windows Security Manager; Disk Defragmenter; System Restore Service; Bot Loader; SysTray; WinUpdate; avserve.exe; avserve2.exeUpdate Service; MS Config v13.

Viermele impiedica sistemul sa faca shut-down: prin introducerea unei bucle la fiecare cinci secunde cauzeaza abandonarea opririi. Daca ati avut ghinionul sa primiti “vizita“ acestui virus, puteti gasi un utilitar de dezinfectie la urmatoarea adresa: http://www.bitdefender.ro/bd/site/virusinfo.php?menu_id=1&v_id=232.

Caracteristici

Nume: Win32.Worm.Korgo.R

Alias: Worm.Win32.Padobot.k, Win32/Korgo.S, Win32.Lsabot

Descoperit: 23.06.2004

Raspandire: Medie

Risc: Mic