W32/Korgo-P

ワームの除去方法をご覧ください。

W32/Korgo-P は、LSASS 脆弱性を悪用して感染を広げるネットワーク感染型ワームです。（詳細は、マイクロソフトセキュリティ情報 MS04-011 をご覧ください。）

W32/Korgo-P は、任意に生成された５文字から８文字のファイル名を使って、Windows System フォルダに自身をコピーし、システム起動時に自身を実行するよう、次のレジストリ値を作成します：

HKLM￥Software￥Microsoft￥Windows￥CurrentVersion￥Run￥Windows Update

W32/Korgo-P は、ファイル名 X.EXE を使い、HTTP によって任意の IP アドレスに自身を送信しようとします。

W32/Korgo-P は、複数のリモート web サイトへ暗号化されたリポートを送信しますが、そこからさらにファイルを、Windows Ｓystem フォルダ内の任意の6文字のファイル名へダウンロードして実行するように、指示されていることがあります。

W32/Korgo-P は、ファイル FTPUPD.EXE を削除しようと試みます。ワームはまた、 SysTray、WinUpdate および Disk Defragmenter など、特定のプロセスを停止しようと試み、システム起動時に実行されないよう、次の場所にある対応するレジストリ値を削除します：

HKLM￥Software￥Microsoft￥Windows￥CurrentVersion￥Run

W32/Korgo-P は、感染中、次のレジストリ値を一時的に設定します：

HKLM￥Software￥Microsoft￥Wireless￥Client = 1

W32/Korgo-P は、次のレジストリ値を任意のストリングに設定します：

HKLM￥SOFTWARE￥Microsoft￥Wireless￥ID