Wirus Mogi rozprzestrzenia się w niewidoczny sposób na zmieniarkach plików

Robak Mogi specjalizuje się w rozprzestrzenianiu się w sieciach wymiany plików i próbuje stać się niewidocznym na zainfekowanych komputerach dzięki funkcji rootkita.

Jedną z najgorszych cech robaka Mogi jest to, że posiada on również tak zwane funkcje rootkita, które starają się jak najlepiej ukryć twoje pliki. Dlatego usunięcie go często nie jest łatwym zadaniem. Robak jest głównie przenoszony na komputery z sieci wymiany plików. Po infekcji inicjuje rozproszone ataki typu „odmowa usługi” na predefiniowane strony internetowe.

Po uruchomieniu robaka Mogi może wykonać następujące czynności:

1. Skopiuj się do katalogu systemu Windows

2. Baza danych rejestracyjnych
HKEY_LOCAL_MACHINE \ OPROGRAMOWANIE \ Microsoft \ Windows \ Bieżąca wersja \ Run
HKEY_LOCAL_MACHINE \ OPROGRAMOWANIE \ Microsoft \ Windows \ Bieżąca wersja \ Run
dodaje do twoich kluczy
"Usługi" = "iexplore.exe".

3. Tworzy muteks o nazwie „iexplore”, który uruchamia tylko jedną instancję na wybranych komputerach.

4. Próbujesz zatrzymać procesy związane z oprogramowaniem zabezpieczającym.

5. Utwórz następujące pliki:
% System% \ ath.exe
% System% \ balyoz.exe
% System% \ bomba.exe
% System% \ bonk.exe
% System% \ jolt2.exe
% System% \ kod.exe
% System% \ sin.exe
% System% \ suf.exe
% System% \ syn.exe
% System% \ smurf.exe

6. Kopiuje plik covert.dll do katalogu systemu Windows, który ma funkcjonalność rootkita, a jego główną funkcją jest ukrywanie wcześniej utworzonych plików.

7. Staraj się infekować jak najwięcej procesów.

8. Inicjuj ataki typu „odmowa usługi” na predefiniowane strony internetowe.

9. Skopiuj się do katalogów używanych przez oprogramowanie do wymiany plików z następującymi nazwami plików:
Dragon_NaturalSpeaking_xp.exe
norton_2004_setup.exe
multi_password_cracker.exe.