我国最新出现蠕虫病毒Worm_Korgo.R及变种 |
国家计算机病毒应急处理中心经监测发现近期出现了蠕虫病毒Worm_Korgo.R及其一系列的变种,但其传播的数量并不大。提醒用户要及时修补系统漏洞,升级杀毒软件,抵御病毒入侵。 病毒名称:Worm_Korgo.R 病毒类型:蠕虫 感染系统:Windows95/98/Me/NT/2000/XP 病毒特性:病毒通过微软的LSASS漏洞进行传播。有关该漏洞的相关信息和补丁程序,请参见微软网站 www.microsoft.com/technet/security/Bulletin/MS04-011.mspx 。 1、生成病毒文件 病毒运行后,在系统文件夹%System%下生成一个.exe文件,文件名称由随机字符组成,例如:gutrsow.exe。 2、修改注册表 病毒创建注册表项,使得自身能够在系统启动时自动运行,在HKLM\Software\Microsoft\Windows\CurrentVersion\Run下创建Windows Update = %System%\<文件名称>.exe。例如Windows Update = %System%\ gutrsow.exe.exe 3、删除文件和注册表中的键值 当病毒会尝试在临时文件夹中删除文件"ftpupd.exe"。病毒从 "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" 删除以下注册键值,并停止与之相关的进程的运行:"Windows Security Manager""Disk Defragmenter""System Restore Service""Bot Loader""SysTray""WinUpdate""Windows Update Service""avserve.exe""avserve2.exeUpdate Service""MS Configv13" 4、影响其它服务 系统感染该病毒后,LSASS服务有可能受到影响。 5、其它 病毒还尝试链接一些制定的站点。 |
附件: