病毒名称:
Worm.Korgo.d.enc
类别: 蠕虫
病毒资料:
破坏方法:
一个蠕虫病毒,采用upx压缩
病毒行为:
病毒运行后将删除名为:“FTPupd.exe”的文件,并创建一个名为:“uterm8”的互斥量,以防止自己运行多个复本。
病毒将自己复制到%SYSTEM%目录下,文件名为随便的字符组成。并将在注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
中加入自己的键值:System Restore Service
病毒尝试清除注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
以下的如下键:
“avserve2.exe”,“avserve.exe”,“WinUpdate”,“SysTray”,“Bot Loader”
“System Service Manager”,“Windows Security Manager”
并杀死相关的的进程。
病毒尝试将自己注入到eXPlorer进程内。在该进程内进行传播..等后续动作。
当病毒注入失败,将在自己的进程内做主要传播动作。
传播:
病毒以特定昵称登录特定的MIRC频道以方便病毒作者了解感染情况等。病毒利用MS-4011
漏洞进行传播。
传播流程:
病毒建立一个服务线程:
该线程监听一个端口,当联系上以后向对方发送整个病毒文件的数据。
病毒以当前ip计算出攻击目标机ip向其进行漏攻击,当成功后,被攻入病毒将联接上攻击
发起者接收病毒文件数据。以达到传播目的。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2004-6-4