Worm.Korgo.e

病毒别名：

处理时间：

威胁级别：★★★

中文名称：考格

病毒类型：蠕虫

影响系统：WinNT/Win2000/WinXP/Win2003

病毒行为:

蠕虫

编写工具:UPX压缩

传染条件:通过微软漏洞Microsoft Security Bulletin MS04-011在网络中传播

发作条件:

系统修改:

A、在注册表主键：

"HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun"下

添加如下键值："Disk Defragmenter"="%System%<随机名称>.exe"

在注册表主键"HKEY_LOCAL_MACHINEMicrosoft"下

添加子键："Wireless"

B、在系统目录添加如下文件：

%System%<随机名称>.exe

C、从注册表主键：

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

下删除如下键值：

avserve.exe

avserve2.exe

Bot Loader

System Restore Service

System Service Manager

SysTray

Windows Security Manager

Windows Upadate Service

WinUpdate

发作现象:

被感染的机器会出现LSASS错误，需要重启的对话框

特别说明:

A、该病毒自动生成IP，打开TCP端口113，6667，3067，以及随机的端口来实行攻击；

B、同时，该病毒还会打开端口113进行监听，接受其他被感染机器的连接。它还会开启随机端口来接受远程用户的操控以及传输数据。

C、它还会尝试连接以下确定的IRC服务器来实现远程访问被感染机器：

irc.kar.net

gaspode.zanet.org.za

lia.zanet.net

irc.tsk.ru

london.uk.eu.undernet.org

washington.dc.us.undernet.org

los-angeles.ca.us.undernet.org

brussels.be.eu.undernet.org

caen.fr.eu.undernet.org

flanders.be.eu.undernet.org

graz.at.eu.undernet.org

gaz-prom.ru

moscow-advokat.ru