Mogi 駭蟲透過網路分享散播,並植入rootkit工具用來隱藏病毒檔案
Mogi 駭蟲會複製本身到分享資料夾並藉由網路分享散播,此駭蟲會植入rootkit工具,用來隱藏駭蟲植入的病毒檔案,以防止使用者發現,且會終止各程序,降低安全性,也會執行拒絕服務攻擊。
基本介紹:
病毒名稱:[email protected]
病毒別名:W32.Mogi[symantec]
病毒型態:Worm , Network
病毒發現日期:2005/11/23
影響平台:Windows 95/98/ME , Windows NT/2000/XP/2003
風險評估:
散播程度:低
破壞程度:低
[email protected] 行為描述:
註:在Win95/98/me %System% 預設值為 C:\windows\System
在WinNT/2000/XP/2003 %System% 系統預設值為 C:\WinNT\System32
終止下列程序:
KAVPF.exe
agentw.exe
AckWin32.exe
Claw95.exe
Monitor.exe
avpm.exe
_AVP32.EXE
AVP32.EXE
vshwin32.exe
f-stopw.exe
植入下列rootkit工具,用來隱藏駭蟲植入的病毒檔案:
%System%\covert.dll
執行拒絕服務攻擊。
駭蟲複製本身至下列資料夾並藉由網路分享散播:
%ProgramFiles%\Donkey2000\incoming
%ProgramFiles%\ICQ\shared files
%ProgramFiles%\Morpheus\My Shared Folder
%ProgramFiles%\Bearshare\Shared
%ProgramFiles%\Gnucleus\Downloads
%ProgramFiles%\Gnucleus\Downloads\Incoming
%ProgramFiles%\Kazaa\My Shared Folder
%ProgramFiles%\Limewire\Shared
%ProgramFiles%\emule\incoming
透過病毒執行後,將駭蟲本身複製到%System%
layer.exe
iexplore.exe
病毒執行後,在%System%產生:
ath.exe
balyoz.exe
bomba.exe
bonk.exe
jolt2.exe
kod.exe
sin.exe
suf.exe
syn.exe
smurf.exe
修改登錄檔,如此開機即會啟動駭蟲。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"Services" = "iexplore.exe"
"Services" = "layer.exe"
 |
回覆時引用此文章
書籤