McAfee for Small Businesses

以下の症状が見られる場合、このウイルスに感染している可能性があります。

TOPへ戻る

・W32/Korgo.worm.pは、ランダムなファイル名を使用してWindows Systemディレクトリ（例：c:\windows\system32）に自身をコピーし、システムの起動時に自動的にワームをロードするレジストリ実行キーを作成します。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Windows Update" = C:\WINDOWS\System32\[ランダムな名前] .exe ・さらに、以下のマーカーキーを作成します。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wireless ・W32/Korgo.worm.pは身を潜め、Windows explorer.exeのスレッドとして自身を隠します。そのため、タスク マネージャのプロセスリストには表示されません。 ・W32/Korgo.worm.pはポート80でURLに接続します。接続はランダムで断続的に行われます。ターゲットになるURLの一例は以下のとおりです。 citi-bank.ru kidos-bank.ru color-bank.ru asechka.ru goldensand.ru adult-empire.com www.redline.ru

感染方法	TOPへ戻る
・W32/Korgo.worm.pはセキュリティホールのあるMicrosoft Windowsシステムを利用します。クラスAまたはクラスBのサブネットのIPアドレスとランダムなIPアドレスをスキャンして、TCPポート445上でSNYパケットを送信して、ターゲットマシンを識別します。次に、セキュリティホールを突いたコードをホストに送信して、ターゲットシステム上のLSASS.EXEのバッファをオーバーフローさせ、ウイルスを実行します。

駆除方法	TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出して下さい。 システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、現行のエンジンと指定のウイルス定義ファイル以上を使用した場合は正常に駆除されます。 古いエンジンを使用した場合、作成されたすべてのレジストリーキーを駆除できないことがあります。 Windows ME/XPでの駆除についての補足