Zahlreiche Varianten des jüngsten Wurms, genannt "Korgo", tauchen derzeit auf der ganzen Welt auf. Finjan Software stuft die Bedrohung durch "Korgo" und seine Ableger als mittelschwer ein. Der Wurm schlüpft durch die Sicherheitslücke, die von Microsoft im Security Bulletin MS04-011 am 13. April 2004 identifiziert wurde. "Korgo" greift den Microsoft Local Security Authority Subsystem Service (LSASS) an, der eine Schnittstelle für das Management lokaler Sicherheitseinstellungen, Domain-Authentifizierung und Active Directory-Prozesse bietet.
Art der Verbreitung
Der Wurm verbreitet sich, indem er (über Port 445) zufällig ausgewählte IP-Adressen nach unsicheren Systemen absucht. Hat er solch eine Lücke gefunden, kopiert er sich selbst in die WINDOWS SYSTEM Directory unter einem beliebigen Namen und fügt dem Registry Run Key einen Wert hinzu, so dass er sich bei jedem Neustart des PCs vervielfältigt. Der LSASS.exe-Prozess stürzt ab, sobald "Korgo" die Schwachstelle in Windows LSASS besetzt hat. Windows bringt dann eine Fehlermeldung und schließt selbständig das System. Der Wurm baut Verbindung auf zu einem Remote Access Server, über den der Angreifer Kontrolle über das infizierte System erhält. Er überwacht die TCP Ports 113, 3067 sowie beliebige andere Ports und versucht, eine Verbindung zu einer Liste vordefinierter IRC Server herzustellen, um so Befehle zu empfangen und Daten an den Angreifer zu übertragen.
Schutz vor Korgo
Anwender der Finjan Software Desktop Lösungen SurfinShield Corporate und SurfinGuard Pro sind ohne weitere Downloads bereits in Echtzeit proaktiv gegen "Korgo" geschützt. SurfinShield Corporate und SurfinGuard Pro sind patentierte, proaktive Security-Lösungen für Unternehmen und private Anwender. Durch die Anwendung einer verhaltensbasierten Technologie, bekannt als "Sandboxing", schützen diese Produkte ihre Anwender vor Mobile Malicious Codes, die durch das Internet, E-Mails, Peer-to-Peer (P2P) Applikationen, Instant Messengers und IRC Kommunikation eingefangen wurden. Sie untersuchen mobilen Code, Scripts, Prozesse und verschiedene Anwendungen, zum Beispiel auch den Windows LSASS Client (Lsass.exe). Finjans verhaltensbasierte Sandboxing-Technologie blockierte den Korgo-Wurm bereits während der ersten Stunden erfolgreich, noch bevor Anti-Viren-Hersteller ihre Signature-File-Updates zur Verfügung stellten und wird seine Anwender auch weiterhin vor zu erwartenden Varianten und ähnlichen Attacken bewahren.
Art der Verbreitung
Der Wurm verbreitet sich, indem er (über Port 445) zufällig ausgewählte IP-Adressen nach unsicheren Systemen absucht. Hat er solch eine Lücke gefunden, kopiert er sich selbst in die WINDOWS SYSTEM Directory unter einem beliebigen Namen und fügt dem Registry Run Key einen Wert hinzu, so dass er sich bei jedem Neustart des PCs vervielfältigt. Der LSASS.exe-Prozess stürzt ab, sobald "Korgo" die Schwachstelle in Windows LSASS besetzt hat. Windows bringt dann eine Fehlermeldung und schließt selbständig das System. Der Wurm baut Verbindung auf zu einem Remote Access Server, über den der Angreifer Kontrolle über das infizierte System erhält. Er überwacht die TCP Ports 113, 3067 sowie beliebige andere Ports und versucht, eine Verbindung zu einer Liste vordefinierter IRC Server herzustellen, um so Befehle zu empfangen und Daten an den Angreifer zu übertragen.
Schutz vor Korgo
Anwender der Finjan Software Desktop Lösungen SurfinShield Corporate und SurfinGuard Pro sind ohne weitere Downloads bereits in Echtzeit proaktiv gegen "Korgo" geschützt. SurfinShield Corporate und SurfinGuard Pro sind patentierte, proaktive Security-Lösungen für Unternehmen und private Anwender. Durch die Anwendung einer verhaltensbasierten Technologie, bekannt als "Sandboxing", schützen diese Produkte ihre Anwender vor Mobile Malicious Codes, die durch das Internet, E-Mails, Peer-to-Peer (P2P) Applikationen, Instant Messengers und IRC Kommunikation eingefangen wurden. Sie untersuchen mobilen Code, Scripts, Prozesse und verschiedene Anwendungen, zum Beispiel auch den Windows LSASS Client (Lsass.exe). Finjans verhaltensbasierte Sandboxing-Technologie blockierte den Korgo-Wurm bereits während der ersten Stunden erfolgreich, noch bevor Anti-Viren-Hersteller ihre Signature-File-Updates zur Verfügung stellten und wird seine Anwender auch weiterhin vor zu erwartenden Varianten und ähnlichen Attacken bewahren.
