名稱
相關資料
病毒名稱:Worm_Korgo.R病毒類型:蠕蟲
病毒長度:9,343位元組
感染系統:Windows 95/98/Me/NT/2000/XP
病毒特性:
1、 生成病毒檔案
病毒運行後,在系統資料夾%System%下生成一個.exe檔案,檔案名稱稱由隨機字元組成,例如:gutrsow.exe。
2、 修改註冊表
病毒創建註冊表項,使得自身能夠在系統啟動時自動運行,在HKLM\Software\Microsoft\Windows\CurrentVersion\Run下創建
Windows Update = %System%\<檔案名稱稱>.exe
例如Windows Update = %System%\ gutrsow.exe.exe
3、刪除檔案和註冊表中的鍵值
當病毒會嘗試在臨時資料夾中刪除檔案"ftpupd.exe"。
病毒從 "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run" 刪除以下註冊鍵值,並停止與之相關的進程的運行:
"Windows Security Manager"
"Disk Defragmenter"
"System Restore Service"
"Bot Loader"
"SysTray"
"WinUpdate"
"Windows Update Service"
"avserve.exe"
"avserve2.exeUpdate Service"
"MS Config v13"
4、 影響其它服務
系統感染該病毒後,LSASS服務有可能受到影響,會彈出下圖所示對話框。
5、 其它
病毒還嘗試連線一些制定的站點。
