Wurm-Familie Korgo befällt Windows-Systeme
W32.Korgo dringt über die LSASS-Sicherheitslücke in Windows-Systeme ein und öffnet diverse Hintertürchen.
Nicht King Kong bedroht derzeit Windows-Systeme, auf denen die LSASS-Sicherheitslücke noch offen ist, sondern der neue Wurm W32.Korgo. Gleich eine ganze Familie von .A bis .F belästigt seit Anfang des Monats Windows-XP- und -2000-Anwender. Warum nach den verheerenden Auswirkungen von W32.Sasser immer noch in so vielen Rechnern kein Patch installiert wurde, ist unklar. Korgo.F hat jedenfalls bei Symantec bereits die Risikostufe 3 erreicht, der Hersteller stellt auch schon ein Removal-Tool zur Verfügung. Die anderen Hersteller von Antivirensoftware haben den Wurm bislang erst in Stufe Low eingeordnet.
W32.Korgo.F infiziert Rechner über Port 445 und öffnet Hintertürchen auf den Ports 113, 3067 und weiteren zufälligen. Darüber hinaus versucht er sich mit folgenden IRC-Servern auf Port 6667 zu verbinden, um Kommandos entgegenzunehmen:
- gaspode.zanet.org.za
- lia.zanet.net
- irc.tsk.ru
- london.uk.eu.undernet.org
- washington.dc.us.undernet.org
- los-angeles.ca.us.undernet.org
- brussels.be.eu.undernet.org
- caen.fr.eu.undernet.org
- flanders.be.eu.undernet.org
- graz.at.eu.undernet.org
- moscow-advocat.ru
- gaz-prom.ru
Die meisten Hersteller haben ihre Virensignaturen schon aktualisiert. Weitere Hinweise zu Viren und Würmern finden Sie auf den Antiviren-Seiten von heise Security.
Siehe dazu auch: (dab)
- Wurmbeschreibung des BSI
- Wurmbeschreibung von Symantec
- Wurmbeschreibung von Trendmicro
