W32.Korgo.F-Ένα «σκουλήκι» απειλεί τα κομπιούτερ μας
Posted: Fri Jun 11, 2004 6:34 pm
Νέα σοβαρή απειλή για τους υπολογιστές εμφανίστηκε με τη μορφή του ιού Κόργκο λίγες εβδομάδες μετά την καταστροφή που προκάλεσε ο Σάσερ. Αρχικά, οι ειδικοί θεώρησαν ότι το καινούργιο «σκουλήκι» (μία μορφή ιού) είναι απλώς παραλλαγή του Σάσερ. ’λλαξαν γνώμη όμως όταν είδαν 12 διαφορετικές παραλλαγές τού Κόργκο σε ελάχιστο χρόνο, ανεβάζοντάς το έτσι ψηλά στη λίστα επικινδυνότητας.
Φαίνεται μάλιστα πως ο δημιουργός του κάνει δοκιμές για τη δημιουργία νέων παραλλαγών, με στόχο να αιφνιδιάσει τους χρήστες και να προκαλέσει ακόμα μία σοβαρή επιδημία. Σύμφωνα με τους ειδικούς της Panda Software, εταιρεία λογισμικού καταπολέμησης των ιών, τα κίνητρα του δημιουργού του Κόργκο ίσως αποτελούν σημαντική απειλή για τα συστήματα πληροφορικής.
Το «σκουλήκι» εκμεταλλεύεται διάφορα προβλήματα ασφαλείας των Windows για να εξαπλωθεί ταχύτατα μέσω Ίντερνετ. Σε αντίθεση όμως με το Σάσερ, προσπαθεί να διατηρήσει χαμηλό προφίλ όταν μολύνει υπολογιστές. Έτσι, οι χρήστες δεν αντιλαμβάνονται ότι το σύστημά τους έχει μολυνθεί. Ο Σάσερ, για παράδειγμα, προκαλούσε συνεχείς επανεκκινήσεις του υπολογιστή, σημαίνοντας έτσι «συναγερμό».
Ανάλογα με την παραλλαγή του Κόργκο που έχει μολύνει το σύστημα, το «σκουλήκι» μπορεί να σβήνει συγκεκριμένα αρχεία, να ανοίγει θύρες επικοινωνίας και να επιχειρεί να συνδεθεί με διάφορους κόμβους. Επίσης, ελέγχει την πρόσβαση σε διάφορα σημεία του συστήματος, εμποδίζοντας άλλες εφαρμογές να τα χρησιμοποιήσουν και αλλάζει τα καταχωρημένα στοιχεία στο μητρώο των Windows.
Ο στόχος του δημιουργού όμως παραμένει μυστήριο, ανησυχώντας τους ειδικούς. «H εργασία που έγινε για την ανάπτυξη των διάφορων παραλλαγών του Κόργκο υποδηλώνει ότι πρόκειται για κάτι πιο σοβαρό από μία απλή προσπάθεια εντυπωσιασμού», λέει ο Λούις Κόρονς, επικεφαλής του εργαστηρίου καταπολέμησης ιών της εταιρείας. «Διαφέρει από την τυπική στρατηγική που ακολουθείται στις περιπτώσεις των περισσότερων ιών, δηλαδή την κυκλοφορία όσο το δυνατόν περισσότερων παραλλαγών με στόχο τη μόλυνση πολλών υπολογιστών. Τώρα, κάθε παραλλαγή είναι σχεδιασμένη να διαγράψει όλες τις προκατόχους τους». Έτσι, φαίνεται πως ο συγγραφέας τους προσπαθεί να δημιουργήσει ένα καταστροφικό μοντέλο, το οποίο θα αιφνιδιάσει τους χρήστες. Και μάλιστα μία επιδημία θα περνούσε απαρατήρητη από την πλειονότητα.
Το Korgo δημιουργεί backdoors στα TCP ports 113, 3067 και 2041, μέσω των οποίων μπορεί να δεχθεί εντολές από τους δημιουργούς του.
Removal tool από Symantec:
http://securityresponse.symantec.com/av ... .tool.html
Security fix από Microsoft:
http://www.microsoft.com/technet/securi ... 4-011.mspx
Πηγή: ΤΑ ΝΕΑ
Φαίνεται μάλιστα πως ο δημιουργός του κάνει δοκιμές για τη δημιουργία νέων παραλλαγών, με στόχο να αιφνιδιάσει τους χρήστες και να προκαλέσει ακόμα μία σοβαρή επιδημία. Σύμφωνα με τους ειδικούς της Panda Software, εταιρεία λογισμικού καταπολέμησης των ιών, τα κίνητρα του δημιουργού του Κόργκο ίσως αποτελούν σημαντική απειλή για τα συστήματα πληροφορικής.
Το «σκουλήκι» εκμεταλλεύεται διάφορα προβλήματα ασφαλείας των Windows για να εξαπλωθεί ταχύτατα μέσω Ίντερνετ. Σε αντίθεση όμως με το Σάσερ, προσπαθεί να διατηρήσει χαμηλό προφίλ όταν μολύνει υπολογιστές. Έτσι, οι χρήστες δεν αντιλαμβάνονται ότι το σύστημά τους έχει μολυνθεί. Ο Σάσερ, για παράδειγμα, προκαλούσε συνεχείς επανεκκινήσεις του υπολογιστή, σημαίνοντας έτσι «συναγερμό».
Ανάλογα με την παραλλαγή του Κόργκο που έχει μολύνει το σύστημα, το «σκουλήκι» μπορεί να σβήνει συγκεκριμένα αρχεία, να ανοίγει θύρες επικοινωνίας και να επιχειρεί να συνδεθεί με διάφορους κόμβους. Επίσης, ελέγχει την πρόσβαση σε διάφορα σημεία του συστήματος, εμποδίζοντας άλλες εφαρμογές να τα χρησιμοποιήσουν και αλλάζει τα καταχωρημένα στοιχεία στο μητρώο των Windows.
Ο στόχος του δημιουργού όμως παραμένει μυστήριο, ανησυχώντας τους ειδικούς. «H εργασία που έγινε για την ανάπτυξη των διάφορων παραλλαγών του Κόργκο υποδηλώνει ότι πρόκειται για κάτι πιο σοβαρό από μία απλή προσπάθεια εντυπωσιασμού», λέει ο Λούις Κόρονς, επικεφαλής του εργαστηρίου καταπολέμησης ιών της εταιρείας. «Διαφέρει από την τυπική στρατηγική που ακολουθείται στις περιπτώσεις των περισσότερων ιών, δηλαδή την κυκλοφορία όσο το δυνατόν περισσότερων παραλλαγών με στόχο τη μόλυνση πολλών υπολογιστών. Τώρα, κάθε παραλλαγή είναι σχεδιασμένη να διαγράψει όλες τις προκατόχους τους». Έτσι, φαίνεται πως ο συγγραφέας τους προσπαθεί να δημιουργήσει ένα καταστροφικό μοντέλο, το οποίο θα αιφνιδιάσει τους χρήστες. Και μάλιστα μία επιδημία θα περνούσε απαρατήρητη από την πλειονότητα.
Το Korgo δημιουργεί backdoors στα TCP ports 113, 3067 και 2041, μέσω των οποίων μπορεί να δεχθεί εντολές από τους δημιουργούς του.
Removal tool από Symantec:
http://securityresponse.symantec.com/av ... .tool.html
Security fix από Microsoft:
http://www.microsoft.com/technet/securi ... 4-011.mspx
Πηγή: ΤΑ ΝΕΑ
