病毒名称:Win32.Mofei.B
其它名称:W32.Femot.Worm, WORM_MOFEI.B
病毒属性:蠕虫病毒 危害性:中等危害 流行程度:低
具体介绍:
Win32.Mofei.B是一种通过局域网传播的蠕虫病毒。
蠕虫程序采用UPX压缩,文件大小为32,354字节。蠕虫拷贝自己的副本文件以及一个DLL库文件到%Windows%System32下, DLL文件名为SCARDSVR32.DLL,也采用UPX压缩,大小为20,480字节。此DLL文件包含了蠕虫主要的复制进程,且隐藏在进程LSASS.EXE和EXPLORER.EXE中。所以,系统重新启动时可能会要求移除病毒。
蠕虫会修改注册表键值,以便系统下次启动时,病毒副本文件自动运行:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServicesSCardDrv = "%Windows%system32scardsvr32.exe"
在WIN2000系统里,蠕虫替换一个名为"Smart Card Helper"的服务。需要注意的是,原系统文件名为"scardsvr.exe":
HKLMSYSTEMCurrentControlSetServicesSCardDrvImagePath, with value "%Windows%System32scardsvr32.exe -v"
蠕虫通过135和139端口来扫描网络。一旦发现目标机器,便试图拷贝自己到System32scardsvr32.exe下。并在Windows%System32目录下生成一个日志文件MoFei.DAT,用来记录搜索过的IP地址。
下列IP地址段中,蠕虫会随机搜索地址进行扫描:
local subnet (255.255.0.0)
150.184.0.1 to 150.184.255.254
164.100.0.0 to 164.100.255.255
199.37.0.1 - 199.37.255.254
此蠕虫也具有木马的特性,会开启后门,允许远程控制被感染机器。此后门有以下一些功能:
查看帮助信息
查看版本
终止程序
更改密码
改变端口
访问资源管理器
访问当前目录
修改文件夹
文件列表
删除文件
建立文件夹
删除文件夹
执行DOS命令
从互联网上下载文件
绑定一个端口
关闭绑定
