开元周游
德国频道
查看: 1462|回复: 0
打印 上一主题 下一主题

Korgo:又一危险病毒诞生

[复制链接]
1#
发表于 14.6.2004 15:38:51 | 只看该作者
即时机票
现阶段看来该病毒作者目前种种行动旨在“投石问路”,目的在于制造一种新病毒——可以破坏用户现有的所有安全防护、瞬时造成大面积的病毒传播。 <br><br><br><br>Korgo.A蠕虫起初只是被认为是震荡波病毒的又一模仿者。但之后在短短时间内接连出现的12个病毒变种,表明了该病毒的目的应该不止如此——IT系统整个崩溃才是他们的真正目标!<br>Korgo蠕虫虽然和震荡波一样都是利用LSASS漏洞进行迅速传播,但不同在于该病毒在侵入用户计算机后,会尽量抑制自己的复制数量以免造成类似计算机不断重启之类的明显中毒征兆。同时该病毒可在变种的辅助下删除一些主要文档、打开联结端口以及尝试和IRC服务器取得联系等。<br>这一蠕虫病毒还具有另一项重要特性——某些Korgo变种可创建互斥体。这一特性有效控制了系统资源的流量,避免多个程序在同一时间重复执行。通常我们将这些互斥体命名为“utermXX”(XX为序号)。假设Korgo.C使用斥体“utwrm7”, Korgo.J使用的是“uterm12”。这就意味着一个蠕虫至少拥有12个不同版本(并且在这个案例中每个版本特性各异)。不仅如此,大部分的Korgo变种都和其原形不尽相同。只有Korgo.K和Korgo.L与源代码颇为相似。<br>Korgo蠕虫还会修改Windows注册表里的键值,每一个新变种都可清除其前辈之前所做的修改,然后键入新的键值。我们可以根据这点“顺藤摸瓜”找出该病毒的出现先后规律。例如Korgo.D可以删除Korgo.F的注册名,这就表示Korgo.D才是“后来者”。<br>这一病毒其作者的目的至今还不为人所知。熊猫软件病毒实验室的负责人Luis Corrons认为:“Korgo病毒每次演化需要准备大量的时间、工作,绝不只是一时的心血来潮之作。并且这也不同于以往我们所接触到的那些病毒的常用伎俩——变种不断出现、尽可能扩大感染机群等,前者迄今为止的所有动作看来只是促成新旧变种的不断替代。”<br>我们有理由认为该病毒作者仍在不断完善他的作品、目的是为了可以创造一个“一鸣惊人”的成品。因此作为“暴风雨前的宁静”,前阶段Korgo病毒的传播必须不被用户所知。<br>不过这里也出现了一个类似技术创造方面的细节问题,那就是Korgo所使用的系统漏洞LSASS,由于前些天的震荡波风波许多用户已经下载了相应的补丁程序,不过这对于病毒作者而言并不属于什么大问题,就像Corrons先生说的那样:“他同样可以利用其他已被公布的漏洞。因此我们认为随时关注这一病毒是否有新变种现身是极为必要的。当然最好的解决方法还是尽快将病毒作者逮捕归案。”<br>熊猫软件公司建议用户尽快更新他们的杀毒软件以避免受到该病毒的侵扰。同时公司也对旗下产品作了全面的升级更新、确保可以彻底检杀这一病毒。用户如果尚未下载LSASS漏洞的补丁程序,可登陆下列网站获取:http://ww.microsoft.com/technet/security/bulletin/MS04-011.mspx<br>更多病毒咨询,详见熊猫软件病毒百科全书:Panda Software’s Virus and Intrusions Encyclopedia<br>当然,用户也可通过熊猫软件公司的官方网站下载免费的在线病毒扫描工具Panda ActiveScan,该工具能有效查杀Korgo在内的所有恶意代码。网址见下:http://www.pandasoftware.com/<br>
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

站点信息

站点统计| 举报| Archiver| 手机版| 小黑屋

Powered by Discuz! X3.2 © 2001-2014 Comsenz Inc.

GMT+1, 15.11.2024 20:30

关于我们|Apps

() 开元网

快速回复 返回顶部 返回列表