• 测拆除工具是一个轻便的工具,可以很容易地找到并消除Win32.蠕虫。测感染的系统。

    蜗利用Microsoft它Windows漏洞的扩散。

    一旦运行,蜗杆将做到以下几点:

    1. 试图删除Go.exe 从当前的位置

    2. 创建互斥的:

    备选案文A:r10,rocket10

    备选案文B:r10,u2,uterm5

    3. 检查[HKLM SOFTWAREMicrosoftWindowsCurrentVersionrun"WinUpdate"]项的存在

    如果关键的存在:

    企图要删除该登记册条目:[HKLMSoftwareMicrosoftWireless"服务器"]

    如果的关键并不存在,它企图制造它:

    [HKLMSoftwareMicrosoftWireless"服务器"="1"]

    4. 创建一个随机命名的复制的虫%系统%的文件夹????????中。exe在哪里? 可以是任何封信。

    5. 创造的注册条目的

    [HKEY_LOCAL_MACHINESoftwareMicrosoftwindowscurrentversionrun"WinUpdate"="%SYSTEM%????????.exe"]

    为了在启动时运行。

    6. 执行复制的虫和终止目前的进程。

    7. 开始很多线程,并进入一个无限循环,防止系统关闭。

    8. 打开端口:113,3067,2041,允许远程连接和对发送的蠕虫,扫描随机的IP地址,以便传染给未修复系统。

    还打开了口6667,因为它尝试连接到一个名单的因诺琴蒂研究中心的服务器在那里监听的命令。

  • Korgo हटाने के उपकरण एक हल्के उपयोगिता है कि कर सकते हैं आसानी से खोजने के लिए और खत्म Win32.Worm.Korgo संक्रमण से अपने सिस्टम को.

    कीड़ा कारनामे Microsoft LSASS Windows सुरक्षाछिद्र के लिए फैल गया ।

    एक बार चलाने के लिए, कीड़ा निम्न कार्य करना होगा:

    1. प्रयास करने के लिए हटा दें Go.exe वर्तमान स्थान से

    2. बनाता है mutexes:

    संस्करण एक: r10, rocket10

    प्रकार बी: r10, u2, uterm5

    3. चेक [HKLM SOFTWAREMicrosoftWindowsCurrentVersionrun"WinUpdate"] प्रविष्टि मौजूद है

    यदि कुंजी मौजूद है:

    प्रयास करने के लिए रजिस्ट्री प्रविष्टि को हटाएँ: [HKLMSoftwareMicrosoftWireless"सर्वर"]

    यदि कुंजी मौजूद नहीं है, यह प्रयास करने के लिए इसे बनाने के लिए:

    [HKLMSoftwareMicrosoftWireless"सर्वर"="1"]

    4. बनाता है एक बेतरतीब ढंग से नामित की नकल में कीड़ा %प्रणाली% फ़ोल्डर, के रूप में ????????है । exe कहाँ ? हो सकता है किसी भी पत्र है ।

    5. बनाता है रजिस्ट्री प्रविष्टि

    [HKEY_LOCAL_MACHINESoftwareMicrosoftwindowscurrentversionrun"WinUpdate"="%SYSTEM%????????.exe"]

    आदेश में करने के लिए स्टार्टअप पर चलाने.

    6. कार्यान्वित की नकल कीड़ा समाप्त हो जाता है और वर्तमान की प्रक्रिया है ।

    7. शुरू होता है, कई धागे, और में प्रवेश करती है एक अनंत लूप को रोकने, प्रणाली से नीचे बंद.

    8. खोलता है बंदरगाहों: 113, 3067, 2041 की अनुमति देता है, दूरदराज के कनेक्शन और भेजने के लिए कीड़ा, स्कैन यादृच्छिक आईपी पते के क्रम में संक्रमित करने के लिए unpatched सिस्टम.

    भी खुलती पोर्ट 6667, के रूप में यह प्रयास करने के लिए कनेक्ट करने के लिए एक सूची के आईआरसी सर्वर जहां यह सुनता है के लिए आदेश है ।

  • Korgo Removal Tool is a lightweight utility that can easily find and eliminate the Win32.Worm.Korgo infection from your system.

    The worm exploits the Microsoft LSASS Windows vulnerability for spreading.

    Once run, the worm will do the following:

    1. Attempts to delete Go.exe from current location

    2. Creates the mutexes:

    variant A: r10, rocket10

    variant B: r10, u2, uterm5

    3. Checks if the [HKLM SOFTWAREMicrosoftWindowsCurrentVersionRun"WinUpdate"] entry exists

    If the key exists:

    Attempts to delete the registry entry: [HKLMSoftwareMicrosoftWireless"Server"]

    If the key doesn't exist, it attempts to create it:

    [HKLMSoftwareMicrosoftWireless"Server"="1"]

    4. Creates a randomly named copy of the worm in %SYSTEM% folder, as ????????.exe where ? may be any letter.

    5. Creates the registry entry

    [HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun"WinUpdate"="%SYSTEM%????????.exe"]

    in order to run at startup.

    6. Executes the copy of the worm and terminates the current process.

    7. Starts many threads, and enters an infinite loop, preventing the system from shutting down.

    8. Opens ports: 113, 3067, 2041, allowing remote connection and for sending the worm, scans random IP addresses in order to infect unpatched systems.

    Also opens port 6667, as it attempts to connect to a list of IRC servers where it listens for commands.