Червь Korgo: опасный эксперимент?
Возможно, создатель Korgo пытается создать новые версии, чтобы застать пользователей врасплох и вызвать серьезную эпидемию
Возможно, создатель Korgo пытается создать новые версии, чтобы застать пользователей врасплох и вызвать серьезную эпидемию
Екатеринбург, 10 июня 2004 г.
Вначале Korgo.A приняли за новую версию знаменитого Sasser. Однако тот факт, что появилось 12 версий, достигших быстрого успеха, указал на более зловещие причины, которые представляют серьезную угрозу целостности информационных систем.
Как и Sasser, черви семейства Korgo используют для распространения брешь LSASS, что позволило им быстро охватить весь Интернет. Но в отличие от Sasser, эти вирусы стараются остаться незамеченными при заражении компьютера, поэтому пользователи не наблюдают никаких признаков инфицирования, таких как продолжающиеся перезагрузки пораженного компьютера. Также эти черви могут, в зависимости от версии, удалять определенные файлы, открывать коммуникационные порты и пытаться соединиться с разными серверами IRC.
Другая важная характеристика – это то, что некоторые из этих вирусов используют mutex – взаимное исключение объектов. Эти объекты могут контролировать доступ к ресурсам системы и предотвращать одновременное использование одного и того же ресурса в более чем одном процессе. Один из таких mutex, созданных этим вредоносным кодом, назвали “utermXX” (где XX – случайно выбранный номер). Так, в то время как Korgo.C использует mutex “utwrm7”, Korgo.J использует “uterm12”. Это предполагается в том случае, если существует, по крайней мере, 12 версий червя (в этом случае версия – это вирус, обладающий существенно другими характеристиками, чем его предшественники). Кроме того, есть и другие меньшие версии, частично отличающиеся от оригинального кода. Это пример случая с червями Korgo.K и Korgo.L, созданными с минимальными отличиями от оригинального кода.
Эти вредоносные коды также изменяют системный реестр Windows, причем каждый новый вариант удаляет изменения, созданные его предшественниками, вызывая, в свою очередь, новые изменения. Это означает, что порядок, в котором они были созданы, можно проследить по изменениям, которые они вызвали. Например, то, что Korgo.D удаляет записи, созданные Korgo.F, предполагает, что Korgo.D – более ранняя версия.
Цели автора этих вирусов до сих пор остаются загадкой. Льюис Корронс, руководитель лаборатории PandaLabs, объясняет так: «Тот объем работы, потребовавшийся для создания вирусов Korgo, предполагает, что это более чем просто повод повеселиться для их автора. Это не типичная вирусная стратегия, которая обычно имеет своей целью сразу запустить как можно больше версий в обращение, чтобы заразить как можно большее количество компьютеров, иначе бы более поздние версии не удаляли бы своих предшественников».
Кажется, что авторы пытаются настроить вредоносный код так, чтобы впоследствии создать наиболее опасный вирус, который застанет пользователей врасплох. Тем не менее, это будет «бесшумная» эпидемия, т.к. одной из основных характеристик червей Korgo является то, что их действия проходят незамеченными для пользователей.
Единственная деталь, противоречащая такой технической изобретательности, - это то, что Korgo использует для распространения брешь LSASS. Поэтому этот вирус прекратит распространяться, как только пользователи поставят заплатки, чтобы закрыть эту брешь в Windows. Однако это может не быть проблемой для авторов вируса. Корронс говорит так: «Создатель червя может использовать и другие вновь обнаруживаемые бреши. Вот почему мы советуем сохранять бдительность и следить за новыми версиями, которые, несомненно, скоро появятся. И чем быстрее их автор будет пойман, тем лучше».
Для предотвращения заражения, включая вирусы Korgo, Panda Software советует пользователям принять меры безопасности и постоянно обновлять антивирусное программное обеспечение. Обновления для продуктов Panda Software доступны клиентам, что поможет обнаружить и обезвредить эти новые вредоносные коды. Чтобы избежать атаки Korgo или его версий, нужно установить заплатку Microsoft, которая закрывает брешь LSASS. Вы можете загрузить эту заплатку отсюда: http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx.
Дополнительную информацию об этой и других угрозах можно получить из Вирусной Энциклопедии Panda Software на сайте www.viruslab.ru.
Кроме того, пользователи могут бесплатно проверить свои компьютеры в режиме онлайн при помощи решения Panda ActiveScan, доступном на сайте компании: www.viruslab.ru.
О PandaLabs
Получив подозрительный файл, технический персонал Panda Software приступает к работе. Полученный файл анализируется, и, в зависимости от его типа, предпринимаются следующие действия: дизассемблирование, проверка макросов, анализ кода и т.д. Если проанализированный таким образом файл действительно содержит новый вирус, немедленно подготавливаются необходимые средства для обнаружения и обезвреживания вредоносного кода, которые быстро распространяются среди пользователей.
Екатеринбург, 10 июня 2004 г.
Вначале Korgo.A приняли за новую версию знаменитого Sasser. Однако тот факт, что появилось 12 версий, достигших быстрого успеха, указал на более зловещие причины, которые представляют серьезную угрозу целостности информационных систем.
Как и Sasser, черви семейства Korgo используют для распространения брешь LSASS, что позволило им быстро охватить весь Интернет. Но в отличие от Sasser, эти вирусы стараются остаться незамеченными при заражении компьютера, поэтому пользователи не наблюдают никаких признаков инфицирования, таких как продолжающиеся перезагрузки пораженного компьютера. Также эти черви могут, в зависимости от версии, удалять определенные файлы, открывать коммуникационные порты и пытаться соединиться с разными серверами IRC.
Другая важная характеристика – это то, что некоторые из этих вирусов используют mutex – взаимное исключение объектов. Эти объекты могут контролировать доступ к ресурсам системы и предотвращать одновременное использование одного и того же ресурса в более чем одном процессе. Один из таких mutex, созданных этим вредоносным кодом, назвали “utermXX” (где XX – случайно выбранный номер). Так, в то время как Korgo.C использует mutex “utwrm7”, Korgo.J использует “uterm12”. Это предполагается в том случае, если существует, по крайней мере, 12 версий червя (в этом случае версия – это вирус, обладающий существенно другими характеристиками, чем его предшественники). Кроме того, есть и другие меньшие версии, частично отличающиеся от оригинального кода. Это пример случая с червями Korgo.K и Korgo.L, созданными с минимальными отличиями от оригинального кода.
Эти вредоносные коды также изменяют системный реестр Windows, причем каждый новый вариант удаляет изменения, созданные его предшественниками, вызывая, в свою очередь, новые изменения. Это означает, что порядок, в котором они были созданы, можно проследить по изменениям, которые они вызвали. Например, то, что Korgo.D удаляет записи, созданные Korgo.F, предполагает, что Korgo.D – более ранняя версия.
Цели автора этих вирусов до сих пор остаются загадкой. Льюис Корронс, руководитель лаборатории PandaLabs, объясняет так: «Тот объем работы, потребовавшийся для создания вирусов Korgo, предполагает, что это более чем просто повод повеселиться для их автора. Это не типичная вирусная стратегия, которая обычно имеет своей целью сразу запустить как можно больше версий в обращение, чтобы заразить как можно большее количество компьютеров, иначе бы более поздние версии не удаляли бы своих предшественников».
Кажется, что авторы пытаются настроить вредоносный код так, чтобы впоследствии создать наиболее опасный вирус, который застанет пользователей врасплох. Тем не менее, это будет «бесшумная» эпидемия, т.к. одной из основных характеристик червей Korgo является то, что их действия проходят незамеченными для пользователей.
Единственная деталь, противоречащая такой технической изобретательности, - это то, что Korgo использует для распространения брешь LSASS. Поэтому этот вирус прекратит распространяться, как только пользователи поставят заплатки, чтобы закрыть эту брешь в Windows. Однако это может не быть проблемой для авторов вируса. Корронс говорит так: «Создатель червя может использовать и другие вновь обнаруживаемые бреши. Вот почему мы советуем сохранять бдительность и следить за новыми версиями, которые, несомненно, скоро появятся. И чем быстрее их автор будет пойман, тем лучше».
Для предотвращения заражения, включая вирусы Korgo, Panda Software советует пользователям принять меры безопасности и постоянно обновлять антивирусное программное обеспечение. Обновления для продуктов Panda Software доступны клиентам, что поможет обнаружить и обезвредить эти новые вредоносные коды. Чтобы избежать атаки Korgo или его версий, нужно установить заплатку Microsoft, которая закрывает брешь LSASS. Вы можете загрузить эту заплатку отсюда: http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx.
Дополнительную информацию об этой и других угрозах можно получить из Вирусной Энциклопедии Panda Software на сайте www.viruslab.ru.
Кроме того, пользователи могут бесплатно проверить свои компьютеры в режиме онлайн при помощи решения Panda ActiveScan, доступном на сайте компании: www.viruslab.ru.
О PandaLabs
Получив подозрительный файл, технический персонал Panda Software приступает к работе. Полученный файл анализируется, и, в зависимости от его типа, предпринимаются следующие действия: дизассемблирование, проверка макросов, анализ кода и т.д. Если проанализированный таким образом файл действительно содержит новый вирус, немедленно подготавливаются необходимые средства для обнаружения и обезвреживания вредоносного кода, которые быстро распространяются среди пользователей.