McAfee for Small Businesses

以下の症状が見られる場合、このウイルスに感染している可能性があります。

TOPへ戻る

・W32/Korgo.worm.cは、ランダムなファイル名を使用してWindows Systemディレクトリ（例：c:\windows\system32）に自身をコピーし、システムの起動時に自動的にワームをロードするレジストリ実行キーを作成します。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "SysTray" = C:\WINDOWS\System32\[ランダムな名前] .exe ・さらに、以下のマーカーキーを作成します。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wireless ・W32/Korgo.worm.cはTCPポート113、3067およびその他のランダムなポートで受信待機を行います。また、TCPポート6667上で以下のIRCサーバに接続します。 irc.kar.net gaspode.zanet.org.za lia.zanet.net london.uk.eu.undernet.org washington.dc.us.undernet.org los-angeles.ca.us.undernet.org brussels.be.eu.undernet.org caen.fr.eu.undernet.org flanders.be.eu.undernet.org graz.at.eu.undernet.org moscow-advokat.ru irc.tsk.ru gaz-prom.ru

感染方法	TOPへ戻る
・W32/Korgo.worm.cはセキュリティホールのあるMicrosoft Windowsシステムを利用します。W32/Korgo.worm.cはランダムなIPアドレスをスキャンし、TCPポート445上でSNYパケットを送信して、ターゲットマシンを識別します。次に、セキュリティホールを突いたコードをホストに送信して、ターゲットシステム上のLSASS.EXEのバッファをオーバーフローさせ、ウイルスを実行します。

駆除方法	TOPへ戻る
■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。 システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。 Windows ME/XPでの駆除についての補足