Userbase

<img src="http://upload.userbase.be/upload/korgo_worm_kl.jpg" align="left" width="120" height="100"> Exploiteert gesloten lek in Windows 2000 en XP. In maar liefst vijf varianten verschijnt de Korgo-worm ten tonele die zich, ondanks massale aandacht voor de schade die Sasser aanrichtte, nog altijd succesvol voortplant via een oud lek in Windows. Korgo exploiteert evenals Sasser een lek in het Local Security Authority Subsystem Service (LSASS) in Windows, dat rechten op een Windows 2000- of XP-machine regelt. Microsoft dichtte dit lek al in april en biedt een patch aan via Windows Update en elders op de website.
Dat er nu wéér een worm met LSASS-bug aan de haal gaat, is zacht gezegd teleurstellend. Blijkbaar zijn berichten in de media over miljardenschade van Sasser en de gerede kans op dataverlies voor velen onvoldoende reden om lekke pc's te patchen.

Op het moment lijkt Korgo-variant F de meest schadelijke. Net als bij Sasser hoeft er voor infectie weinig te gebeuren, aangezien het wormvirus actief zoekt naar lekke machines. Het infecteert een ongepatchte machine via poort 445, en opent vervolgens poorten 113 en 3067. Een ingebouwde IRC-client maakt verbinding met een reeks IRC-servers van Zuid-Afrika tot Rusland, om daar op instructies te wachten.

De meeste antivirusbedrijven herkennen Korgo inmiddels. Het is dus zaak de virusdefinities (al dan niet handmatig) bij te werken. Wie het virus heeft opgelopen, verdient eigenlijk geen medelijden. Symantec toont zich echter barmhartig en stelt een verwijdertool ter beschikking.

Bron: ZDNet.be van 3 juni 2004

Het Duitse Bundesamt voor Veiligheid in de Informatica technik (BSI) verwittigd voor een nieuwe Computerworm. Bijzonder brisant: „Korgo“, dat is de naam van het actuele virus, heeft het vooral op de passwoorden voor Online-Banking gemunt. De worm werkt in de achtergrond, maakt zich echter ook af en toe door een verlangzaming van het gehele systeem alsook door crashen van de PC bemerkbaar.
Veel gebruikers zijn niettegenstaande „Sasser“ niet voorbereid. Daardoor zijn de passwoorden voor "Online-Banking" en creditkaarten-codes van talrijke Windows-gebruikers acuut in gevaar. Er bestaat dank zij een Microsoft-patch reeds een betrouwbare bescherming voor de nieuwe Internetplaaggeest, welke zich snel verbreid. Korgo, is volgens meerdere veiligheidsexperten nog een gevaar, daar te vele PC-gebruikers hun systeem nog niet gepatcht hebben, en dat ondanks de gekende désastreuze gevolgen van de „Sasser“-epidemie. De onbeschermde PC's worden door „Korgo“ met een trojaner geïnfecteerd. Het kleine programma is in de mogelijkheid, onopgemerkt toetsaanslagen op te slaan en deze data via het Internet aan zijn programma-schrijver te zenden. Waar met de meeste andere Computervirussen in eerste instantie sabotage bedreven werd, is „Korgo“ nu met klare criminele doeleinden geprogrammeerd. Is de schrijver van het virus' eenmaal in het bezit van brisante toegangscodes, kan hij deze creditkaarten probleemloos plunderen.

Bron: FAZ-Net van 04. Juni 2004 (Klein deel vrije vertaling)

Nu heeft "W32-Korgo.F" van Symantec een opwaardering gekregen, vorig bericht was dit nog:
"Gevaar Niveau 2" nu is het Niveau 3.