Портал ISRAland - израильские новости

09.06.2004 | 11:39

Компания Symantec предупреждает о появлении новых модификаций вредоносной программы Korgo (она же Padobot). Как и предыдущие версии вируса, вариант Korgo.H при распространении использует уязвимость в локальной подсистеме аутентификации пользователей (LSASS) операционных систем Microsoft Windows 2000 и ХР.

После проникновения на компьютер червь выполняет следующие действия. Во-первых, вредоносная программа удаляет из реестра ряд записей, связанных со службами безопасности и обновления, и добавляет собственные строки, обеспечивающие автоматический запуск при каждом старте ОС. Во-вторых, Korgo.H пытается зарегистрироваться в качестве подпроцесса Windows Explorer. Если это удается, то при вызове окна менеджера задач пользователь не обнаружит никаких следов присутствия вируса в системе. В противном случае, червь запускает собственный процесс. В-третьих, Korgo.H открывает порты 113, 3067 и произвольный порт в интервале 256-8191, через которые осуществляется рассылка копий вредоносного кода. Наконец, вирус соединяется с каналами на нескольких IRC-серверах в доменных зонах .ru, .org и .net с целью получения команд от авторов.

Кроме того, практически одновременно в интернете появилась еще одна версия вредоносной программы Korgo с индексом "I". Функционально данная модификация практически ничем не отличается от своего предшественника.

Следует добавить, что специалисты Symantec уже выпустили бесплатную утилиту для удаления червей семейства Korgo.

Читайте последние новости раздела "Технологии":
Скоростные зарядки уже на пути в Израиль?  →
«Amazon»: работаем в нормальном режиме  →
Сервера легли…  →
«Google» инвестирует миллиарды в новый центр, но не в Израиле  →
«Sora 2»: что нужно знать о новинке?  →
Сеть «Х» стала опасным инструментом в руках антисемитов  →

Поделиться:

Компьюлента