DALLA A ALLA G
Scoperto all'inizio della settimana Korgo sta facendo parlare di se' perche'‚ in pochi giorni, sono gia' almeno sette le varianti conosciute di questo worm in circolazione, nominate dalla A alla G. La F e' senza dubbio quella che fino a questo momento e' riuscita a diffondersi di piu' al punto da aver fatto alzare la guardia alle aziende che si occupano di antivirus.
Korgo.F, come le altre varianti di questo worm, sfrutta la nota vulnerabilita' Local Security Authority Subsystem Service (LSASS) di Windows. Lo stesso sistema LSASS gia' oggetto di attacchi da parte di noti e peggiori virus, come Sasser per citarne uno.
A differenza della gran parte dei worm, Korgo non arriva via email, ma si intrufola nel computer senza che l'utente debba far altro che essere connesso a Internet.
Microsoft ha comunque da tempo rilasciato una patch per aggiustare questa vulnerabilita', come descritto nel bollettino di sicurezza Microsoft: http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
Korgo colpisce solo i sistemi operativi Windows 2000 e Windows XP. Tuttavia alcuni laboratori di ricerca antivirus ritengono a rischio anche le altre versioni di Windows.
COSA FA
Korgo e' sempre alla ricerca di computer da infettare effettuando una scansione casuale di indirizzi IP, ovvero l'indirizzo numerico a cui ogni computer collegato a Internet e' associato. Quando trova un sistema vulnerabile invia una copia di se stesso ad infettarlo.
Korgo apre diverse porte del computer dando cosi' accesso alla rete a se stesso e ad eventuali malintenzionati che potrebbero quindi penetrare nel computer infetto per compiere le piu' disparate operazioni.
Non solo, Korgo agisce anche sul registro di sistema cancellando una serie di voci e modificandone altre al fine di rendere instabile il computer e difficile la sua individuazione e la sua rimozione.
L'effetto di Korgo sulla rete e' l'occupazione di banda che il virus effettua nel tentativo di infettare altri sistemi, con il risultato di un degrado delle prestazioni di upload e download.
COME PROTEGGERSI
Se ancora non si ha installata la patch Microsoft contro la vulnerabilita' del sistema LSASS e' bene procedere immediatamente attraverso Windows Update.
Aggiornare quanto prima le definizioni dei software antivirus. Questa operazione consente l'intercettazione per tempo dei file infetti e quindi di evitare l'infezione.
Il SSR ha messo a disposizione un tool per rimuovere Korgo: http://securityresponse.symantec.com/avcenter/venc/data/w32.korgo.f.removal.tool.html
ULTERIORI INFORMAZIONI
Maggiori informazioni su Korgo.F sono disponibili in inglese ai seguenti indirizzi:
http://securityresponse.symantec.com/avcenter/venc/data/w32.korgo.f.html
http://it.mcafee.com/virusInfo/default.asp?id=description&virus_k=125994
Scoperto all'inizio della settimana Korgo sta facendo parlare di se' perche'‚ in pochi giorni, sono gia' almeno sette le varianti conosciute di questo worm in circolazione, nominate dalla A alla G. La F e' senza dubbio quella che fino a questo momento e' riuscita a diffondersi di piu' al punto da aver fatto alzare la guardia alle aziende che si occupano di antivirus.
Korgo.F, come le altre varianti di questo worm, sfrutta la nota vulnerabilita' Local Security Authority Subsystem Service (LSASS) di Windows. Lo stesso sistema LSASS gia' oggetto di attacchi da parte di noti e peggiori virus, come Sasser per citarne uno.
A differenza della gran parte dei worm, Korgo non arriva via email, ma si intrufola nel computer senza che l'utente debba far altro che essere connesso a Internet.
Microsoft ha comunque da tempo rilasciato una patch per aggiustare questa vulnerabilita', come descritto nel bollettino di sicurezza Microsoft: http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
Korgo colpisce solo i sistemi operativi Windows 2000 e Windows XP. Tuttavia alcuni laboratori di ricerca antivirus ritengono a rischio anche le altre versioni di Windows.
COSA FA
Korgo e' sempre alla ricerca di computer da infettare effettuando una scansione casuale di indirizzi IP, ovvero l'indirizzo numerico a cui ogni computer collegato a Internet e' associato. Quando trova un sistema vulnerabile invia una copia di se stesso ad infettarlo.
Korgo apre diverse porte del computer dando cosi' accesso alla rete a se stesso e ad eventuali malintenzionati che potrebbero quindi penetrare nel computer infetto per compiere le piu' disparate operazioni.
Non solo, Korgo agisce anche sul registro di sistema cancellando una serie di voci e modificandone altre al fine di rendere instabile il computer e difficile la sua individuazione e la sua rimozione.
L'effetto di Korgo sulla rete e' l'occupazione di banda che il virus effettua nel tentativo di infettare altri sistemi, con il risultato di un degrado delle prestazioni di upload e download.
COME PROTEGGERSI
Se ancora non si ha installata la patch Microsoft contro la vulnerabilita' del sistema LSASS e' bene procedere immediatamente attraverso Windows Update.
Aggiornare quanto prima le definizioni dei software antivirus. Questa operazione consente l'intercettazione per tempo dei file infetti e quindi di evitare l'infezione.
Il SSR ha messo a disposizione un tool per rimuovere Korgo: http://securityresponse.symantec.com/avcenter/venc/data/w32.korgo.f.removal.tool.html
ULTERIORI INFORMAZIONI
Maggiori informazioni su Korgo.F sono disponibili in inglese ai seguenti indirizzi:
http://securityresponse.symantec.com/avcenter/venc/data/w32.korgo.f.html
http://it.mcafee.com/virusInfo/default.asp?id=description&virus_k=125994
