На этой неделе в Сети появились сразу три версии червя Korgo, которые используют уязвимость в ОС Windows, о которой стало известно более месяца назад. Это свидетельствует о том, что патч, устраняющий эту уязвимость, установили далеко не все пользователи. Черви-“родственники” используют L
ASS-дефект, который был обнаружен в середине апреля 2004 г. Korgo.a, Korgo.b и Korgo.c сканируют системы без установленных исправлений так же, как и червь Sasser, который первым использовал эту уязвимость.
Korgo обнаруживает уязвимую систему и подгружает себя. Korgo, также известный как Padobot, случайным образом выбирает IP-адреса компьютеров, атакует и инфицирует их, по такому же принципу, что и другие черви, использующие LSASS-дефект. Червь открывает несколько TCP-портов, в том числе 113, 445, 2041, 3067 и 6667 в качестве “задней двери”, а затем соединяется с несколькими IRC-серверами для получения дальнейших команд и передачи информации. В случае удачного проникновения в систему, червь дает хакеру возможность полного контроля над ней.
Тем не менее, червям семейства Korgo большинство антивирусных компаний присвоило рейтинг “низкая степень угрозы”, а Symantec поставил им 2 балла по 5-балльной шкале опасности. Однако финская компания F-Secure считает, что вирус достаточно опасен, так как ворует информацию с помощью шпионских программ, мониторящих нажатия на клавиши.
Несмотря на то, что новый вирус не вызвал серьезной эпидемии, антивирусные компании настойчиво рекомендуют пользователям убедиться в том, что исправления, устраняющие уязвимость в LSASS, установлены на их ОС Windows NT, 2000, XP и Windows Server 2003.