Worm 'Korgo' in opmars

Virus exploiteert allang gesloten lek in Windows 2000 en XP

03 juni 2004 | Lars Pasveer In maar liefst vijf varianten is onder de naam 'Korgo' een wormvirus verschenen. Ondanks de massale aandacht voor de schade van Sasser plant ook dit virus zich succesvol voort via een oud lek in Windows.

Korgo exploiteert evenals Sasser een zwakte in de Local Security Authority Subsystem Service (LSASS) in Windows, dat rechten op een Windows 2000 of XP machine regelt. Microsoft dichtte dit lek al in april en biedt een patch aan via Windows Update en elders op de website.

Dat er nu wéér een worm met de LSASS-bug aan de haal gaat, is zacht gezegd teleurstellend. Blijkbaar zijn berichten in de media over de door Sasser veroorzaakte miljardenschade en over de gerede kans op dataverlies voor velen onvoldoende reden om lekke pc's te patchen.

Op het moment lijkt Korgo-variant F de meest schadelijke. Net als bij Sasser hoeft er voor infectie weinig te gebeuren, aangezien het wormvirus actief zoekt naar lekke machines. Het infecteert een ongepatchte machine via poort 445 en opent vervolgens poorten 113 en 3067. Een ingebouwde IRC-client maakt verbinding met een reeks IRC-servers van Zuid-Afrika tot Rusland, om vervolgens op instructies te wachten.

De meeste antivirusbedrijven herkennen Korgo inmiddels. Het is dus zaak de virusdefinities (al dan niet handmatig) bij te werken. Symantec stelt bovendien een verwijdertool ter beschikking. Lees meer artikels over : korgo, sasser, worm, lsass

bron: ZDNet