Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Nemůžete vypnout svůj počítač? Možná vás navštívil červ Korgo

aktualizováno 
Nebezpečí plynoucí z nezáplatovaného systému se nyní snaží poměrně úspěšně využít jedna z variant červa Korgo. Podobně jako vir Sasser nevyužívá ke svému šíření e-mail, ale sám aktivně vyhledává napadnutelné systémy.

Je až s podivem, kolik virů dokáže relativně úspěšně žít z jedné chyby v počítačovém software, k níž je již dokonce k dispozici záplata. Řeč je v tomto případě o chybě známé jako přetečení zásobníku v LSASS, na níž vydala společnost Microsoft záplatu MS04-11 již před téměř dvěma měsíci. První a nejúspěšnější zneužití této chyby bylo v režii různých variant počítačového červa Sasser.

Počítače napadané Sasserem se pak snažil ukořistit Dabber, který k šíření využívat právě přítomnost zmíněného červa. V poslední době to byly červy Stdbot, Bobax či Korgo. K zastavení šíření takových virů by přitom stačilo, aby měl každý svůj počítač aktuálně záplatovaný. Pokud jste si tedy doposud počítač nezáplatovali nejnovějšími opravami, učiňte tak okamžitě.

Poslední zmíněný se měl zatím nejvíce k světu, u jeho varianty Korgo.F (také Padobot.E) musela dokonce společnost Symantec zvýšit označení úrovně rizika.

Tento vir nepotřebuje ke svému šíření e-mail a byť i nepatrnou spolupráci uživatele, neboť se právě v důsledku chyby LSASS může po lokální síti a internetu šířit sám. V důsledku toho napadá systémy Windows 2000 a Windows XP, ale může být spuštěn i na starších verzích OS Windows..

Co červ dělá

V případě, že se Korgovi.F podaří proniknout na nezáplatovaný systém, zapíše do „spouštěcího“ registru odkaz na sebe. Ten mu zaručí, že se při každém zapnutí počítače bude moci aktivovat.

V tom samém registru pak odstraní odkazy na jiné červy, takže ty se tímto způsobem nebudou moci dále spouštět. V určitých případech se také vloží jako adresáře System, kde jej lze objevit jako spustitelný *.EXE soubor s náhodným názvem. Korgo se také snaží připojit k běžnému programu OS Windows Explorer.exe. Pokud se mu to podaří má zajištěn další způsob aktivace, která je navíc nenápadná. V opačném případě se spouští jako samostatný proces.

Pokud je červ v běhu pokouší se otevřít porty 113, 3067 a další, kterými může do systému proniknout útočník. Na těchto portech také čeká na zprávu, která mu umožní odeslat svou kopii na další počítač.

Pro další šíření vyzkouší náhodnou IP adresu vzdáleného počítače, aby se pokusil přes port 445 zneužít případně nezáplatované chyby v LSASS. Bylo také zjištěno, že si červ „chodí“ pro další příkazy na některou z následujících adres :


brussels.be.eu.undernet.org
caen.fr.eu.undernet.org
flanders.be.eu.undernet.org
gaspode.zanet.org.za
gaz-prom.ru
graz.at.eu.undernet.org
irc.tsk.ru
lia.zanet.net
london.uk.eu.undernet.org
los-angeles.ca.us.undernet.org
moscow-advocat.ru
washington.dc.us.undernet.org

V případě, že červ úspěšně napadl systém a připravuje se na další šíření, pokouší se zmezit počítači ve vypínání či rebootu.

Pokud chcete virové nákaze předejít, musíte dodržovat určitá pravidla. Bez aktuální virové databáze ve vašem antivirovém programu a záplatovaného systému se i při vší opatrnosti neobejdete. Přečtěte si náš článek Deset pravidel pro účinnou antivirovou ochranu.



Témata: software, Virus


Hlavní zprávy

Další z rubriky

Tipy a triky pro Windows 10
Tipy a triky pro Windows 10: jak se znovu dostat k Ovládacím panelům

Nainstalovali jste si aktualizaci Creators Update a nemůžete najít Ovládací panely? Víme, kde je najdete. Ukážeme si také, jak vyvolat příkazovou řádku při...  celý článek

Avid Media Composer First
Stříhejte video jako hollywoodští profíci. Střižna od Avidu je zdarma

Společnost Avid vydala bezplatnou verzi své střižny Media Composer s názvem Media Composer First. Oproti té plné „hollywoodské“ verzi má několik omezení, ale...  celý článek

VPN v ohrožení
Apple stáhl z Číny aplikace s VPN. Putin podepsal jejich zákaz v Rusku

Blokování přístupu na necenzurovaný internet je v některých zemích stále populárnější. Kvůli požadavkům čínských úřadů tak Apple stahuje VPN aplikace. V Rusku...  celý článek

Najdete na iDNES.cz



mobilní verze
© 1999–2017 MAFRA, a. s., a dodavatelé Profimedia, Reuters, ČTK, AP. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s., zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s., se sídlem
Karla Engliše 519/11, 150 00 Praha 5, IČ: 45313351, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 1328. Vydavatelství MAFRA, a. s., je členem koncernu AGROFERT.