Korgo est une famille de virus ciblant les ordinateurs vulnérables
à la faille Microsoft LSASS annoncée le 13/04/04. Si une machine
connectée à Internet n'est pas à jour dans ses correctifs,
Korgo l'infecte via le port TCP 445 sans intervention de l'utilisateur,
puis scanne le réseau à la recherche de nouvelles machines
vulnérables. Le virus ouvre par ailleurs une porte dérobée
au niveau des ports TCP 113, 2041 et 3067, permettant à
une personne malveillante de prendre le contrôle à
distance de l'ordinateur contaminé.
PREVENTION :
Les utilisateurs concernés doivent mettre
à jour leur antivirus. En cas de doute, les utilisateurs
de Windows NT, 2000, XP et 2003 doivent également
mettre à jour leur système via le site
de Microsoft ou le service WindowsUpdate
afin de corriger la faille LSASS exploitée par
le virus pour s'exécuter automatiquement.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus afin d'empêcher toute réinfection
de l'ordinateur par le virus. Les
utilisateurs ne disposant pas d'un antivirus peuvent
utiliser gratuitement l'utilitaire
FixKorgo ou l'antivirus
gratuit en ligne pour éliminer le virus.
|
TYPE :
Ver
SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003
ALIAS :
Worm.Win32.Padobot.Gen (Kaspersky)
W32/Korgo.worm.a (McAfee)
W32/Korgo.worm.b (Mc Afee)
W32.Korgo.A (Symantec)
W32.Korgo.B (Symantec)
W32.Korgo.C (Symantec)
W32.Korgo.D (Symantec)
W32.Korgo.E (Symantec)
W32.Korgo.F (Symantec)
W32.Korgo.G (Symantec)
W32.Korgo.H (Symantec)
W32.Korgo.I (Symantec)
W32.Korgo.L (Symantec)
W32.Korgo.M (Symantec)
W32.Korgo.N (Symantec)
W32.Korgo.O (Symantec)
W32.Korgo.P (Symantec)
W32.Korgo.Q (Symantec)
W32.Korgo.R (Symantec)
W32.Korgo.S (Symantec)
W32.Korgo.T (Symantec)
W32.Korgo.U (Symantec)
W32.Korgo.V (Symantec)
W32.Korgo.W (Symantec)
WORM_KORGO.A (Trend Micro)
WORM_KORGO.B (Trend Micro)
WORM_KORGO.C (Trend Micro)
TAILLE :
variable
DECOUVERTE :
22/05/2004
DESCRIPTION DETAILLEE :
Les internautes à jour dans leurs correctifs de
sécurité et notamment ceux qui ont mis à
jour leur ordinateur suite à la propagation du virus
Sasser n'ont rien à craindre de ce virus ou d'éventuelles
variantes. Les autres ont tout intérêt à
mettre à jour leur système via le site WindowsUpdate
et à s'abonner à notre liste Secuser
Alerte pour être tenus informés de la disponibilité
des nouveaux correctifs, car les failles de Windows peuvent
être exploitées par d'autres virus ou d'autres
individus douteux à des fins malveillantes.
NB : contrairement à ce qui a été annoncé
par divers médias, Korgo ne contient pas de troyen
keylogger et n'est pas donc capable d'espionner les frappes
au clavier pour transmettre à son auteur des informations
sensibles.
INFORMATIONS COMPLEMENTAIRES :
-> Abonnement gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ
: des dizaines de messages infectés envahissent ma boîte aux
lettres. Mon ordinateur est-il contaminé? Comment arrêter
ça?
-> FAQ
: une alerte m'indique qu'un virus a été trouvé dans un message
que j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ
: que faire dans le cas d'un fichier "uncleanable"
(non nettoyable)?
-> FAQ
: comment supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre
fin?
-> Dossier
Secuser.com sur les virus
|