Вирус Mogi невидим на устройствах смены файлов
Червь Mogi специализируется на распространении по файлообменным сетям и пытается стать невидимым на зараженных компьютерах за счет своей функции руткита.
Одной из худших особенностей червя Mogi является наличие у него так называемых руткит-функций, с помощью которых он пытается как можно лучше скрыть свои файлы. В результате его удаление зачастую оказывается непростой задачей. Червь в основном попадает на компьютеры через файлообменные сети. После заражения он инициирует распределенные атаки типа «отказ в обслуживании» на заранее определенные веб-сайты.
При запуске червь Mogi выполняет следующие действия:
1. Он копирует себя в системный каталог Windows.
2. Регистрационная база данных
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Run
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Run
добавляет к вашим ключам
«Службы» = «iexplore.exe».
3. Создает мьютекс под названием «iexplore» для одновременного запуска только одного экземпляра на выбранных компьютерах.
4. Он пытается остановить процессы, связанные с программным обеспечением безопасности.
5. Создайте следующие файлы:
%System%\ath.exe
%System%\balyoz.exe
%System%\bomb.exe
%System%\bonk.exe
%System%\jolt2.exe
%System%\kod.exe
%System%\sin.exe
%System%\suf.exe
%System%\syn.exe
%System%\smurf.exe
6. Скопируйте в системный каталог Windows файл Covert.dll, который имеет функции руткита и основная задача которого — скрыть созданные выше файлы.
7. Пытается заразить как можно больше процессов.
8. Инициирует атаки типа «отказ в обслуживании» против заранее определенных веб-сайтов.
9. Скопируйте себя в каталоги, используемые программой обмена файлами, со следующими именами файлов:
Dragon_NaturallySpeaking_xp.exe
norton_2004_setup.exe
multi_password_cracker.exe.