病毒名称：Worm_Korgo.R

病毒类型：蠕虫

病毒长度：9,343字节

感染系统：Windows 95/98/Me/NT/2000/XP

病毒特性：

病毒通过微软的LSASS漏洞进行传播。有关该漏洞的相关信息和补丁程序，请参见微软网站http://www.microsoft.com/technet/security/Bulletin/MS04-011.mspx。

1、 生成病毒文件

病毒运行后，在系统文件夹%System%下生成一个.exe文件，文件名称由随机字符组成，例如：gutrsow.exe。

2、 修改注册表

病毒创建注册表项，使得自身能够在系统启动时自动运行，在HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run下创建

Windows Update = %System%\\<文件名称>.exe

例如Windows Update = %System%\\ gutrsow.exe.exe

3、删除文件和注册表中的键值

当病毒会尝试在临时文件夹中删除文件"ftpupd.exe"。

病毒从 "HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion

\\Run" 删除以下注册键值，并停止与之相关的进程的运行：

"Windows Security Manager"

"Disk Defragmenter"

"System Restore Service"

"Bot Loader"

"SysTray"

"WinUpdate"

"Windows Update Service"

"avserve.exe"

"avserve2.exeUpdate Service"

"MS Config v13"

4、 影响其它服务

系统感染该病毒后，LSASS服务有可能受到影响，会弹出下图所示对话框。

5、 其它

病毒还尝试连接一些制定的站点。