Si chiama Korgo e sfrutta anch’esso la vulnerabilità LSASS. L’aumento della sua diffusione è il segnale che la patch risolutiva di Microsoft non è stata installata su tutti i PC
25 maggio 2004 Nuovo worm, vecchia vulnerabilità. I produttori
di antivirus hanno suonato il campanello d’allarme per il virus Korgo
(nella varianti A, B e C) che come Sasser sfrutta la vulnerabilità
LSASS di Windows per propagarsi.
Considerando che la vulnerabilità è stata risolta con la patch
Microsoft MS04-011
ormai più di un mese fa, la diffusione del virus è un sintomo
che sono ancora diversi i PC a rischio.
Conosciuto anche come Padobot, il worm non arriva via e-mail
ma fa una scansione di indirizzi IP a caso alla ricerca di computer senza la
patch installata.
Una volta trovati, Korgo apre diverse porte TCP fra cui le
113, 445, 2041, 3067 e 6067 in qualità di backdooor e si mette in attesa
di comandi da parte di chi ha scritto il virus.
Secondo Symantec, il worm è in grado anche di aprire una backdoor, attraverso
la quale un utente malintenzionato potrebbe accedere remotamente al
sistema senza autorizzazione.
La soluzione è installare la pach di Microsoft che si scarica da questo
indirizzo. I sistemi operativi a rischio contagio sono Windows XP, 2000
e 2003 Server. Ulteriori informazioni sul virus sono disponibili a questa
pagina di Symantec.