McAfee for Small Businesses

以下の症状が見られる場合、このウイルスに感染している可能性があります。

TOPへ戻る

・W32/Korgo.worm.fは、ランダムなファイル名を使用してWindows Systemディレクトリ（例：c:\windows\system32）に自身をコピーし、システムの起動時に自動的にワームをロードするレジストリ実行キーを作成します。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "System Restore Service" = C:\WINDOWS\System32\[ランダムな名前] .exe ・さらに、以下のマーカーキーを作成します。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wireless ・W32/Korgo.worm.fはTCPポート113、3067およびその他のランダムなポートで受信待機を行います。また、TCPポート6667上で以下のIRCサーバに接続します。 gaspode.zanet.org.za lia.zanet.net london.uk.eu.undernet.org washington.dc.us.undernet.org los-angeles.ca.us.undernet.org brussels.be.eu.undernet.org caen.fr.eu.undernet.org flanders.be.eu.undernet.org graz.at.eu.undernet.org moscow-advokat.ru irc.tsk.ru gaz-prom.ru moscow-advokat.ru

感染方法	TOPへ戻る
・W32/Korgo.worm.fはセキュリティホールのあるMicrosoft Windowsシステムを利用します。W32/Korgo.worm.fはランダムなIPアドレスをスキャンし、TCPポート445上でSNYパケットを送信して、ターゲットマシンを識別します。次に、セキュリティホールを突いたコードをホストに送信して、ターゲットシステム上のLSASS.EXEのバッファをオーバーフローさせ、ウイルスを実行します。

駆除方法	TOPへ戻る
■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。 システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。 Windows ME/XPでの駆除についての補足