W32/Korgo-M

ワームの除去方法をご覧ください。

Windows NT/2000/XP/2003 Windows NT/2000/XP/2003 環境では、以下のレジストリ値を編集することが必要です。Windows 95/98/Me 環境では、このレジストリ値は削除しなくてもかまいません。レジストリの編集に関する警告をご覧ください。 タスクバーで「スタート」-「ファイルを指定して実行」をクリックします。'Regedit' と入力して「Enter」キーを押します。レジストリエディタが開きます。 レジストリを編集する前にバックアップを作成してください。「レジストリ」メニューにて、「レジストリファイルの書き出し」をクリックします。「書き出し範囲」パネルで「すべて」をクリックし、レジストリをバックアップ保存します。 HKEY_LOCAL_MACHINEの値を探し、存在する場合、削除してください： HKLM￥Software￥Microsoft￥Windows￥CurrentVersion￥Run￥ Windows Update = <Windows system>￥<任意のファイル名>.exe レジストリエディタを閉じてください。

W32/Korgo-M は、LSASS 脆弱性を悪用して感染を広げるネットワーク感染型ワームです。実行されると、ワームは任意に生成されたファイル名を使って Windows System フォルダに自身をコピーし、ユーザーログオン時にワームが起動するよう、以下のレジストリ値を作成します： HKLM￥Software￥Microsoft￥Windows￥CurrentVersion￥Run￥ Windows Update = <Windows system>￥<任意のファイル名>.exe 感染中、ワームは次のレジストリ値も使用します： HKLM￥Software￥Microsoft￥Wireless￥ID = <任意の文字> W32/Korgo-M は、存在する場合、ファイル FTPUPD.EXE を削除します。ワームはまた、 SysTray、WinUpdate および avserve.exe などのプロセスを停止しようと試み、次の場所に対応するレジストリ値が存在する場合は、それらを削除します： HKLM￥Software￥Microsoft￥Windows￥CurrentVersion￥Run W32/Korgo-M は、任意の IP アドレスを悪用しようとして検索し、検索の結果を、複数の IRC サーバーやチャンネルの一つに転送します。