Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Nemůžete vypnout svůj počítač? Možná vás navštívil červ Korgo

aktualizováno 
Nebezpečí plynoucí z nezáplatovaného systému se nyní snaží poměrně úspěšně využít jedna z variant červa Korgo. Podobně jako vir Sasser nevyužívá ke svému šíření e-mail, ale sám aktivně vyhledává napadnutelné systémy.

Je až s podivem, kolik virů dokáže relativně úspěšně žít z jedné chyby v počítačovém software, k níž je již dokonce k dispozici záplata. Řeč je v tomto případě o chybě známé jako přetečení zásobníku v LSASS, na níž vydala společnost Microsoft záplatu MS04-11 již před téměř dvěma měsíci. První a nejúspěšnější zneužití této chyby bylo v režii různých variant počítačového červa Sasser.

Počítače napadané Sasserem se pak snažil ukořistit Dabber, který k šíření využívat právě přítomnost zmíněného červa. V poslední době to byly červy Stdbot, Bobax či Korgo. K zastavení šíření takových virů by přitom stačilo, aby měl každý svůj počítač aktuálně záplatovaný. Pokud jste si tedy doposud počítač nezáplatovali nejnovějšími opravami, učiňte tak okamžitě.

Poslední zmíněný se měl zatím nejvíce k světu, u jeho varianty Korgo.F (také Padobot.E) musela dokonce společnost Symantec zvýšit označení úrovně rizika.

Tento vir nepotřebuje ke svému šíření e-mail a byť i nepatrnou spolupráci uživatele, neboť se právě v důsledku chyby LSASS může po lokální síti a internetu šířit sám. V důsledku toho napadá systémy Windows 2000 a Windows XP, ale může být spuštěn i na starších verzích OS Windows..

Co červ dělá

V případě, že se Korgovi.F podaří proniknout na nezáplatovaný systém, zapíše do „spouštěcího“ registru odkaz na sebe. Ten mu zaručí, že se při každém zapnutí počítače bude moci aktivovat.

V tom samém registru pak odstraní odkazy na jiné červy, takže ty se tímto způsobem nebudou moci dále spouštět. V určitých případech se také vloží jako adresáře System, kde jej lze objevit jako spustitelný *.EXE soubor s náhodným názvem. Korgo se také snaží připojit k běžnému programu OS Windows Explorer.exe. Pokud se mu to podaří má zajištěn další způsob aktivace, která je navíc nenápadná. V opačném případě se spouští jako samostatný proces.

Pokud je červ v běhu pokouší se otevřít porty 113, 3067 a další, kterými může do systému proniknout útočník. Na těchto portech také čeká na zprávu, která mu umožní odeslat svou kopii na další počítač.

Pro další šíření vyzkouší náhodnou IP adresu vzdáleného počítače, aby se pokusil přes port 445 zneužít případně nezáplatované chyby v LSASS. Bylo také zjištěno, že si červ „chodí“ pro další příkazy na některou z následujících adres :


brussels.be.eu.undernet.org
caen.fr.eu.undernet.org
flanders.be.eu.undernet.org
gaspode.zanet.org.za
gaz-prom.ru
graz.at.eu.undernet.org
irc.tsk.ru
lia.zanet.net
london.uk.eu.undernet.org
los-angeles.ca.us.undernet.org
moscow-advocat.ru
washington.dc.us.undernet.org

V případě, že červ úspěšně napadl systém a připravuje se na další šíření, pokouší se zmezit počítači ve vypínání či rebootu.

Pokud chcete virové nákaze předejít, musíte dodržovat určitá pravidla. Bez aktuální virové databáze ve vašem antivirovém programu a záplatovaného systému se i při vší opatrnosti neobejdete. Přečtěte si náš článek Deset pravidel pro účinnou antivirovou ochranu.



Témata: software, Virus

Nejčtenější

„Tak mě zastřel!“ vykřikl ruský voják a zavraždil šestnáctiletého kluka

Vražedná zbraň. Tímto typem pistole Stečkin APS zastřelil opilý ruský voják...

„Teď v Československu platí sovětské zákony,“ řekl ruský generál vyšetřovatel Veřejné bezpečnosti, když pátrali po...

Zabil je výbuch ruského tanku v centru Prahy. KSČ ničila životy pozůstalým

Tanky typové řady T-54/55, ten blíž k fotografovi evidentně neschopný pohybu,...

Zatímco na pražské Vinohradské třídě hořel a vybuchoval tank, zmatení ruští vojáci na Václavském náměstí zahájili palbu...



Horký nápoj vás ve vedru ochladí lépe, zjistili vědci. Ale má to háček

Horký nápoj v horkém létě?

Biologie lidského těla někdy funguje přesně naopak, než by člověk čekal. Příkladem je pití horkých nápojů v létě. Zní...

Připravte se na pád cen SSD disků. Mohou zlevnit na třetinu

SSD disky jsou stále levnější

Podle firmy Objective Analysis je na trhu tak velký převis nabídky NAND pamětí, které slouží k výrobě SSD disků, že...

Sulfan jako lék? V lidských buňkách možná pomáhá zvrátit stárnutí

Klíč k procesu stárnutí tkví v DNA.

Tým vědců zkoumající jednu z příčin stárnutí oznámil úspěch, a to přímo na lidských buňkách v laboratorních podmínkách....

Další z rubriky

Tipy pro Windows 10: nastavte výkon grafiky či rychlost stahování

Tipy a triky pro Windows 10

Nové Windows 10 umí měnit šířku datového pásma při stahování aktualizací a pomohou rychle zjistit, zda se právě...

Stáhněte si zdarma: profesionální spolehlivý firewall pro domácí použití

Ilustrační foto - bezpečnost

Vyzkoušejte osobní firewall spravující a sledující veškerou příchozí a odchozí komunikaci v PC. Zajímat by vás mohl i...

Microsoft dokončil práci na tmavém módu Windows 10

Temný mód Průzkumníka souborů ve Windows 10.

Nová testovací verze Windows 10 přináší další rozšíření takzvaného tmavého módu (Dark mode), který může zpříjemnit...

Najdete na iDNES.cz