“墨菲”Worm.Mofeir 蠕虫病毒技术分析报告 |
2003年06月11日14:55:09 金山毒霸安全资讯网 |
病毒名称:Wrom.Mofeir
病毒类型:蠕虫 危害级别:高 传播速度:中 技术特征: 该病毒采用穷举Frethem/index.htm" target="_blank" style='text-decoration: underline;color: #0000FF'>密码的方法破解远端系统的密码,并以此进行传播。在受感染计算机上留下一个后门。病毒使用UPX进行压缩。 技术细节: 病毒激活后会在系统目录下生成以下文件 scardsvr32.exe scardsvr32.dll MoFei.DAT MoFei.MIS MoFei.VER MoFei.ID 病毒使用的程序和动态链接库都采用了UPX进行压缩; 病毒会在注册表里添加启动项: 对于Win2000/WinXP HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SCardDrv]ImagePath = %SystemRoot%\system32\ScardSvr.exe ErrorControl = dword:00000000 Start = dword:00000003 Type =dword: 00000020 对于Win9x [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] SCardSvr = %Windows%\System32\SCardSvr.Exe 病毒会进行网络扫描,查找攻击目标,并用以下的密码表,穷举被攻击系统的超级用户密码; 病毒自带密码表: <NULL> stgzs security super oracle secret root admin password passwd pass 88888888 888888 00000000 000000 111 11111 111111 111 fan@ing* 54321 654321 12345678 1234567 123456 12345 1234 123 12 病毒破解成功后,将自身复制到远端计算机的系统目录下,通过admin$自动执行; 病毒会在受感染的系统内添加一个名为tsinternetuser的管理员用户。这是病毒的最终行为:在受感染的系统里留下一后门; 病毒使用的监听端口有可能是:445、139、135; 病毒提供了远端控制命令,并可以执行“批处理文件”,MoFei.MIS就是这样的文件; 病毒完成添加后门以后,可能会从网上下载一个自毁程序,名为:sckiller,用于自我删除; 病毒具有自我更新能力。 |