Worm.Korgo.g

病毒別名：

處理時間：

中文名稱：

病毒行為:

編寫工具:

傳染條件:

A、掃描存在LSASS漏洞(MS04-011)的系統，利用該漏洞使之感染該蠕蟲。

發作條件:

系統修改:

A、從 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 刪除以下鍵值

Windows Security Manager

Disk Defragmenter

System Restore Service

Bot Loader

WinUpdate

Windows Update Service

avserve.exe

avserve2.exeUpdate Service

B、將自身拷貝到 %system32%/<隨機檔案名稱>.exe

C、在 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 添加以下鍵值

"Windows Update"="%System32%<隨機檔案名稱>.exe"

同時運行該 <隨機檔案名稱>.exe，終止原進程。

D、留下後門，等待黑客連線，黑客可以指定URL下載某個exe檔案並在受感染系統上運行。

發作現象:

特別說明: