W32/Korgo-A

Vea la información para eliminar gusanos.

Descargue e instale el parche de Microsoft correspondiente.

Windows NT/2000/XP/2003

En Windows NT/2000/XP/2003 deberá eliminar la entrada del registro creada por el gusano (opcional en Windows 95/98/Me).

Ejecute el comando Inicio|Ejecutar. Escriba 'Regedit' y haga clic en Aceptar. Se abrirá el editor del registro.

Antes de modificar el registro del sistema debería hacer una copia en un archivo. En la ventana Editor del Registro, ejecute el comando 'Exportar archivo del Registro' del menú 'Registro' y seleccione 'Todos' en la sección 'Intervalo de exportación'.

En HKEY_LOCAL_MACHINE localice y borre la siguiente entrada:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ WinUpdate = <Windows system>\<gusano>.exe

Cierre el editor del registro.

W32/Korgo-A es un gusano de redes que se extiende aprovechando la vulnerabilidad LSASS en sistemas Microsoft. El gusano se copia en la carpeta System de Windows con un nombre aleatorio y crea las siguientes entradas en el registro para activarse en el inicio del sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ WinUpdate = <Windows system>\<gusano>.exe

Durante la infección, el gusano utiliza el siguiente registro HKLM\Software\Microsoft\Wireless\Server = 1

W32/Korgo-A busca sistemas vulnerables escaneando direcciones IP aleatorias, y la información obtenida será enviada a diferentes canales IRC.

W32/Korgo-A incluye un componente de puerta trasera que puede ser utilizado por el atacante para copiar y ejecutar archivos en el equipo infectado.

Microsoft ha creado un parche para la vulnerabilidad LSASS que podrá descargar desde Microsoft Security Bulletin MS04-011.