Вирус Mogi невидим на устройствах смены файлов

Червь Mogi специализируется на распространении по файлообменным сетям и пытается стать невидимым на зараженных компьютерах за счет своей функции руткита.

Одной из худших особенностей червя Mogi является наличие у него так называемых руткит-функций, с помощью которых он пытается как можно лучше скрыть свои файлы. В результате его удаление зачастую оказывается непростой задачей. Червь в основном попадает на компьютеры через файлообменные сети. После заражения он инициирует распределенные атаки типа «отказ в обслуживании» на заранее определенные веб-сайты.

При запуске червь Mogi выполняет следующие действия:

1. Он копирует себя в системный каталог Windows.

2. Регистрационная база данных
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Run
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Run
добавляет к вашим ключам
«Службы» = «iexplore.exe».

3. Создает мьютекс под названием «iexplore» для одновременного запуска только одного экземпляра на выбранных компьютерах.

4. Он пытается остановить процессы, связанные с программным обеспечением безопасности.

5. Создайте следующие файлы:
%System%\ath.exe
%System%\balyoz.exe
%System%\bomb.exe
%System%\bonk.exe
%System%\jolt2.exe
%System%\kod.exe
%System%\sin.exe
%System%\suf.exe
%System%\syn.exe
%System%\smurf.exe

6. Скопируйте в системный каталог Windows файл Covert.dll, который имеет функции руткита и основная задача которого — скрыть созданные выше файлы.

7. Пытается заразить как можно больше процессов.

8. Инициирует атаки типа «отказ в обслуживании» против заранее определенных веб-сайтов.

9. Скопируйте себя в каталоги, используемые программой обмена файлами, со следующими именами файлов:
Dragon_NaturallySpeaking_xp.exe
norton_2004_setup.exe
multi_password_cracker.exe.