基本介紹
- 中文名:Worm.Korgo.p
- 威脅級別:★★★
- 中文名稱:考格兄弟變種P
- 病毒類型:蠕蟲
基本信息,系統修改,
基本信息
病毒別名:I-Worm.Korgo.p.58CFC05B.V [AVP]
處理時間:
威脅級別:★★★
中文名稱:考格兄弟變種P
病毒類型:蠕蟲
影響系統:Win9x/WinMe/WinNT/Win2000/WinXP
病毒行為:
編寫工具:
傳染條件:
發作條件:
系統修改
從註冊表主鍵HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
刪除如下鍵值:
MS Config v13
avserve2.exeUpdate Service
avserve.exe
Windows Update Service
WinUpdate
SysTray
Bot Loader
System Restore Service
Disk Defragmenter
Windows Security Manager
在註冊表主鍵HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
修改鍵值"Windows Update"="%System%*.exe" (注: *表示該檔案名稱是隨機生成的)
在註冊表主鍵HKEY_LOCAL_MACHINESOFTWARESoftwareMicrosoftWireless
添加鍵值"ID"="*" (注: *表示一隨機的字元串)
在註冊表主鍵HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsConnections
添加鍵值"DefaultConnectionSettings"=
hex:3c,00,00,00,01,00,00,00,09,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
在註冊表主鍵HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsConnections
添加鍵值"SavedLegacySettings"=
hex:3c,00,00,00,03,00,00,00,09,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
將自身拷貝到%System%*.exe (注: *表示該檔案名稱是隨機生成的)
發作現象:
特別說明:
該病毒會從指定URL下載某個exe檔案並在受感染系統上運行
