北京信息安全测评中心、金山毒霸 联合发布2004年06月28日热门病毒

　　据金山毒霸反病毒实验室介绍，今日提醒用户注意以下病毒：

　　病毒名称: “考格兄弟”（ Worm.Korgo.g），它是上个星期被发现的“考格”病毒的最新变种。被感染的机器会出现LSASS错误，需要重启的对话框，该病毒自动生成IP，打开TCP端口113，6667，3067，以及随机的端口来实行攻击，该病毒传染条件:通过微软漏洞Microsoft Security Bulletin MS04-011在网络中传播。

　　病毒信息：

　　病毒名称: Worm.Korgo.e
　　中文名称：考格兄弟
　　威胁级别: 2C
　　病毒类型: 蠕虫

　　系统修改：

　　A、从 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 删　　除以下键值
　　Windows Security Manager
　　Disk Defragmenter
　　System Restore Service
　　Bot Loader
　　WinUpdate
　　Windows Update Service
　　avserve.exe
　　avserve2.exeUpdate Service

　　B、将自身拷贝到 %system32%/<随机文件名>.exe

　　C、在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 添
　　加以下键值
　　"Windows Update"="%System32%\<随机文件名>.exe"
　　同时运行该 <随机文件名>.exe，终止原进程。

　　D、留下后门，等待黑客连接，黑客可以指定URL下载某个exe文件并在受感染系统上
　　运行。

　　发作现象：

　　被感染的机器会出现LSASS错误，需要重启的对话框，该病毒自动生成IP，打开TCP端口113，6667，3067，以及随机的端口来实行攻击；同时，该病毒还会打开端口113进行监听，接受其他被感染机器的连接。它还会开启随机端口来接受远程用户的操控以及传输数据。

　　解决方案:

　　· 金山毒霸已经于6月28日对该病毒进行了处理，请升级最新版可完全查该病毒；

　　· 该病毒不易手工清除，会造成清除不干净的现象，请升级毒霸到2004年6月28日的病毒库可处理
　　该病毒。如没有安装金山毒霸，可以登录http://online.kingsoft.net使用金山毒霸的在线查毒或
　　是金山毒霸下载版来防止该病毒的入侵。