Worm.Korgo.e是一款電腦病毒。
基本介紹
- 中文名:Worm.Korgo.e
- 威脅級別:★★★
- 病毒類型:蠕蟲
- 影響系統:WinNT/Win2000/WinXP/Win2003
- 編寫工具:UPX壓縮
基本信息,傳播過程,
基本信息
病毒別名:
處理時間:
威脅級別:★★★
中文名稱:考格
病毒類型:蠕蟲
影響系統:WinNT/Win2000/WinXP/Win2003
病毒行為:
編寫工具:UPX壓縮
傳染條件:通過微軟漏洞Microsoft Security Bulletin MS04-011在網路中傳播
發作條件:
系統修改:
傳播過程
A、在註冊表主鍵:
"HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun"下
添加如下鍵值:"Disk Defragmenter"="%System%<隨機名稱>.exe"
在註冊表主鍵"HKEY_LOCAL_MACHINEMicrosoft"下
添加子鍵:"Wireless"
B、在系統目錄添加如下檔案:
%System%<隨機名稱>.exe
C、從註冊表主鍵:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
下刪除如下鍵值:
avserve.exe
avserve2.exe
Bot Loader
System Restore Service
System Service Manager
SysTray
Windows Security Manager
Windows Upadate Service
WinUpdate
發作現象:
被感染的機器會出現LSASS錯誤,需要重啟的對話框
特別說明:
A、該病毒自動生成IP,打開TCP連線埠113,6667,3067,以及隨機的連線埠來實行攻擊;
B、同時,該病毒還會打開連線埠113進行監聽,接受其他被感染機器的連線。它還會開啟隨機連線埠來接受遠程用戶的操控以及傳輸數據。
C、它還會嘗試連線以下確定的IRC伺服器來實現遠程訪問被感染機器:
irc.kar.net
gaspode.zanet.org.za
lia.zanet.net
irc.tsk.ru
london.uk.eu.undernet.org
washington.dc.us.undernet.org
los-angeles.ca.us.undernet.org
brussels.be.eu.undernet.org
caen.fr.eu.undernet.org
flanders.be.eu.undernet.org
graz.at.eu.undernet.org
gaz-prom.ru
moscow-advokat.ru
