Червь Korgo: опасный эксперимент
Вначале Korgo.A приняли за новую версию знаменитого Sasser. Однако тот факт, что появилось 12 версий, достигших быстрого успеха, указал на более зловещие причины, которые представляют серьезную угрозу целостности информационных систем.
Как и Sasser, черви семейства Korgo используют для распространения брешь LSASS, что позволило им быстро охватить весь Интернет. Но в отличие от Sasser, эти вирусы стараются остаться незамеченными при заражении компьютера, поэтому пользователи не наблюдают никаких признаков инфицирования, таких как продолжающиеся перезагрузки пораженного компьютера. Также эти черви могут, в зависимости от версии, удалять определенные файлы, открывать коммуникационные порты и пытаться соединиться с разными серверами IRC.
Другая важная характеристика – это то, что некоторые из этих вирусов используют mutex – взаимное исключение объектов. Эти объекты могут контролировать доступ к ресурсам системы и предотвращать одновременное использование одного и того же ресурса в более чем одном процессе. Один из таких mutex, созданных этим вредоносным кодом, назвали "utermXX" (где XX – случайно выбранный номер). Так, в то время как Korgo.C использует mutex "utwrm7", Korgo.J использует "uterm12". Это предполагается в том случае, если существует, по крайней мере, 12 версий червя (в этом случае версия – это вирус, обладающий существенно другими характеристиками, чем его предшественники). Кроме того, есть и другие меньшие версии, частично отличающиеся от оригинального кода. Это пример случая с червями Korgo.K и Korgo.L, созданными с минимальными отличиями от оригинального кода.
Эти вредоносные коды также изменяют системный реестр Windows, причем каждый новый вариант удаляет изменения, созданные его предшественниками, вызывая, в свою очередь, новые изменения. Это означает, что порядок, в котором они были созданы, можно проследить по изменениям, которые они вызвали. Например, то, что Korgo.D удаляет записи, созданные Korgo.F, предполагает, что Korgo.D – более ранняя версия.
Цели автора этих вирусов до сих пор остаются загадкой. Льюис Корронс, руководитель лаборатории PandaLabs, объясняет так: "Тот объем работы, потребовавшийся для создания вирусов Korgo, предполагает, что это более чем просто повод повеселиться для их автора. Это не типичная вирусная стратегия, которая обычно имеет своей целью сразу запустить как можно больше версий в обращение, чтобы заразить как можно большее количество компьютеров, иначе бы более поздние версии не удаляли бы своих предшественников".
Кажется, что авторы пытаются настроить вредоносный код так, чтобы впоследствии создать наиболее опасный вирус, который застанет пользователей врасплох. Тем не менее, это будет "бесшумная" эпидемия, т.к. одной из основных характеристик червей Korgo является то, что их действия проходят незамеченными для пользователей.
Единственная деталь, противоречащая такой технической изобретательности, - это то, что Korgo использует для распространения брешь LSASS. Поэтому этот вирус прекратит распространяться, как только пользователи поставят заплатки, чтобы закрыть эту брешь в Windows. Однако это может не быть проблемой для авторов вируса. Корронс говорит так: "Создатель червя может использовать и другие вновь обнаруживаемые бреши. Вот почему мы советуем сохранять бдительность и следить за новыми версиями, которые, несомненно, скоро появятся. И чем быстрее их автор будет пойман, тем лучше".
Как и Sasser, черви семейства Korgo используют для распространения брешь LSASS, что позволило им быстро охватить весь Интернет. Но в отличие от Sasser, эти вирусы стараются остаться незамеченными при заражении компьютера, поэтому пользователи не наблюдают никаких признаков инфицирования, таких как продолжающиеся перезагрузки пораженного компьютера. Также эти черви могут, в зависимости от версии, удалять определенные файлы, открывать коммуникационные порты и пытаться соединиться с разными серверами IRC.
Другая важная характеристика – это то, что некоторые из этих вирусов используют mutex – взаимное исключение объектов. Эти объекты могут контролировать доступ к ресурсам системы и предотвращать одновременное использование одного и того же ресурса в более чем одном процессе. Один из таких mutex, созданных этим вредоносным кодом, назвали "utermXX" (где XX – случайно выбранный номер). Так, в то время как Korgo.C использует mutex "utwrm7", Korgo.J использует "uterm12". Это предполагается в том случае, если существует, по крайней мере, 12 версий червя (в этом случае версия – это вирус, обладающий существенно другими характеристиками, чем его предшественники). Кроме того, есть и другие меньшие версии, частично отличающиеся от оригинального кода. Это пример случая с червями Korgo.K и Korgo.L, созданными с минимальными отличиями от оригинального кода.
Эти вредоносные коды также изменяют системный реестр Windows, причем каждый новый вариант удаляет изменения, созданные его предшественниками, вызывая, в свою очередь, новые изменения. Это означает, что порядок, в котором они были созданы, можно проследить по изменениям, которые они вызвали. Например, то, что Korgo.D удаляет записи, созданные Korgo.F, предполагает, что Korgo.D – более ранняя версия.
Цели автора этих вирусов до сих пор остаются загадкой. Льюис Корронс, руководитель лаборатории PandaLabs, объясняет так: "Тот объем работы, потребовавшийся для создания вирусов Korgo, предполагает, что это более чем просто повод повеселиться для их автора. Это не типичная вирусная стратегия, которая обычно имеет своей целью сразу запустить как можно больше версий в обращение, чтобы заразить как можно большее количество компьютеров, иначе бы более поздние версии не удаляли бы своих предшественников".
Кажется, что авторы пытаются настроить вредоносный код так, чтобы впоследствии создать наиболее опасный вирус, который застанет пользователей врасплох. Тем не менее, это будет "бесшумная" эпидемия, т.к. одной из основных характеристик червей Korgo является то, что их действия проходят незамеченными для пользователей.
Единственная деталь, противоречащая такой технической изобретательности, - это то, что Korgo использует для распространения брешь LSASS. Поэтому этот вирус прекратит распространяться, как только пользователи поставят заплатки, чтобы закрыть эту брешь в Windows. Однако это может не быть проблемой для авторов вируса. Корронс говорит так: "Создатель червя может использовать и другие вновь обнаруживаемые бреши. Вот почему мы советуем сохранять бдительность и следить за новыми версиями, которые, несомненно, скоро появятся. И чем быстрее их автор будет пойман, тем лучше".
