Win32.Mofei.B

病毒名称：Win32.Mofei.B

其它名称：W32.Femot.Worm, WORM_MOFEI.B

病毒属性：蠕虫病毒 危害性：中等危害 流行程度：低

具体介绍：

Win32.Mofei.B是一种通过局域网传播的蠕虫病毒。

蠕虫程序采用UPX压缩，文件大小为32,354字节。蠕虫拷贝自己的副本文件以及一个DLL库文件到%Windows%System32下， DLL文件名为SCARDSVR32.DLL，也采用UPX压缩，大小为20,480字节。此DLL文件包含了蠕虫主要的复制进程，且隐藏在进程LSASS.EXE和EXPLORER.EXE中。所以，系统重新启动时可能会要求移除病毒。

蠕虫会修改注册表键值，以便系统下次启动时，病毒副本文件自动运行：

HKLMSoftwareMicrosoftWindowsCurrentVersionRunServicesSCardDrv = "%Windows%system32scardsvr32.exe"

在WIN2000系统里,蠕虫替换一个名为"Smart Card Helper"的服务。需要注意的是，原系统文件名为"scardsvr.exe"：

HKLMSYSTEMCurrentControlSetServicesSCardDrvImagePath, with value "%Windows%System32scardsvr32.exe -v"

蠕虫通过135和139端口来扫描网络。一旦发现目标机器,便试图拷贝自己到System32scardsvr32.exe下。并在Windows%System32目录下生成一个日志文件MoFei.DAT，用来记录搜索过的IP地址。

下列IP地址段中，蠕虫会随机搜索地址进行扫描：

local subnet (255.255.0.0)

150.184.0.1 to 150.184.255.254

164.100.0.0 to 164.100.255.255

199.37.0.1 - 199.37.255.254

此蠕虫也具有木马的特性，会开启后门，允许远程控制被感染机器。此后门有以下一些功能：

查看帮助信息

查看版本

终止程序

更改密码

改变端口

访问资源管理器

访问当前目录

修改文件夹

文件列表

删除文件

建立文件夹

删除文件夹

执行DOS命令

从互联网上下载文件

绑定一个端口

关闭绑定