Würmer: Korgo und Harry Potter Netsky.P unterwegs

Korgo (aka Padobot)

Korgo nutzt die LSASS-Lücke (Local Security Authority Subsystem Service) von Windows aus und verbreitet sich so auf verwundbaren Systemen.

Dieselbe Sicherheitslücke wurde bereits vom bekannten Sasser Wurm und einigen anderen ausgenutzt.

Korgo hat einige fiese Tricks im Ärmel, benutzt diese aber um Einiges weniger effektiv als Sasser. Der Virus wurde laut F-Secure von der russischen Hangup Team Virus Gruppe geschrieben. Die sieben existieren Varianten sind relativ gleich.

Korgo A (so auch seine Varianten) ist in C++ gecodet und ca. 10 KB gross. Wird er gestartet, kopiert sich der Wurm in das Windows Systemverzeichnis - unter einem willkürlichen Namen - und trägt diese mit einem Auto-Run Schlüssel in die Registry ein.
Danach beginnt er willkürlich nach anderen Computern, die über den TCP-Port 445 verwundbar sind, zu scannen. Er hält auch die Ports 113, 3067 und andere (wahllos) offen und ermöglicht so Hackern Zugriff auf die Zombie-Computer.
Die infizierten Rechner verbinden sich teilweise auch mit verschiedenen IRC (Internet Relay Chat) Servern um Befehle und Daten zu empfangen.

Bei infizierten PCs erscheint zunächst die Fehlermeldung, dass der LSASS Service fehlgeschlagen ist und darauf folgt meist ein Neustart.

Die üblichen Sicherheitsvorkehrungen gelten bei allen Korgo Varianten: Windows und Virenprogramm auf dem neuesten Stand halten und gegebenenfalls eine Firewall verwenden. Die meisten Windows User sollten diese Vorkehrungen allerdings spätestens nach Sasser getroffen haben.

Netsky.P als Harry Potter Spiel getarnt

Ende März tauchte er zum ersten Mal auf und verbreitet sich über E-Mail und Filesharing-Programme. Nun erlebt Netsky.P eine Auferstehung: getarnt als ein Harry Potter Spielchen.

Laut Sophos war er im Mai der nach Sasser aktivste Wurm. Innerhalb der letzten Tage haben sich einige tausend neue Kopien verteilt.

Der Virus verlässt sich bei der Verbreitung darauf, dass der Benutzer eine infizierte Datei öffnet.
Diese können folgende Namen Tragen:

Harry Potter 1-6 book.txt.exe
Harry Potter 5.mpg.exe
Harry Potter all e.book.doc.exe
Harry Potter e book.doc.exe
Harry Potter game.exe
Harry Potter.doc.exe

In der Vergangenheit war Netsky.P bereits in Form von Nacktfotos von Britney Spears und Eminem Mp3-Datei sowie als illegale Software unterwegs.