Worm_Korgo.R

病毒通過微軟的LSASS漏洞進行傳播。有關該漏洞的相關信息和補丁程式，請參見微軟網站http://www.microsoft.com/technet/security/Bulletin/MS04-011.mspx。

1、 生成病毒檔案

病毒運行後，在系統資料夾%System%下生成一個.exe檔案，檔案名稱稱由隨機字元組成，例如：gutrsow.exe。

2、 修改註冊表

病毒創建註冊表項，使得自身能夠在系統啟動時自動運行，在HKLM\Software\Microsoft\Windows\CurrentVersion\Run下創建

Windows Update = %System%\<檔案名稱稱>.exe

例如Windows Update = %System%\ gutrsow.exe.exe

3、刪除檔案和註冊表中的鍵值

當病毒會嘗試在臨時資料夾中刪除檔案"ftpupd.exe"。

病毒從 "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion

\Run" 刪除以下註冊鍵值，並停止與之相關的進程的運行：

"Windows Security Manager"

"Disk Defragmenter"

"System Restore Service"

"Bot Loader"

"SysTray"

"WinUpdate"

"Windows Update Service"

"avserve.exe"

"avserve2.exeUpdate Service"

"MS Config v13"

4、 影響其它服務

系統感染該病毒後，LSASS服務有可能受到影響，會彈出對話框。

5、 其它

病毒還嘗試連線一些制定的站點。