Портал ISRAland - израильские новости

09.06.2004 | 11:39

Компания Symantec предупреждает о появлении новых модификаций вредоносной программы Korgo (она же Padobot). Как и предыдущие версии вируса, вариант Korgo.H при распространении использует уязвимость в локальной подсистеме аутентификации пользователей (LSASS) операционных систем Microsoft Windows 2000 и ХР.

После проникновения на компьютер червь выполняет следующие действия. Во-первых, вредоносная программа удаляет из реестра ряд записей, связанных со службами безопасности и обновления, и добавляет собственные строки, обеспечивающие автоматический запуск при каждом старте ОС. Во-вторых, Korgo.H пытается зарегистрироваться в качестве подпроцесса Windows Explorer. Если это удается, то при вызове окна менеджера задач пользователь не обнаружит никаких следов присутствия вируса в системе. В противном случае, червь запускает собственный процесс. В-третьих, Korgo.H открывает порты 113, 3067 и произвольный порт в интервале 256-8191, через которые осуществляется рассылка копий вредоносного кода. Наконец, вирус соединяется с каналами на нескольких IRC-серверах в доменных зонах .ru, .org и .net с целью получения команд от авторов.

Кроме того, практически одновременно в интернете появилась еще одна версия вредоносной программы Korgo с индексом "I". Функционально данная модификация практически ничем не отличается от своего предшественника.

Следует добавить, что специалисты Symantec уже выпустили бесплатную утилиту для удаления червей семейства Korgo.

Читайте последние новости раздела "Технологии":
Генеалогия - в один клик →
Из пластиковых бутылок сделали лекарство от Паркинсона: ученые научились превращать мусор в лекарство →
Waze добавил кнопку «Чрезвычайная ситуация» →
Новый датчик может выявлять пневмонию по дыханию пациента →
Израильские ученые приблизились к управлению фотосинтезом →
Китайские ученые замедляют опустынивание с помощью «живой корки» →

Поделиться:

Компьюлента