荔园在线

荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀

[回到开始] [上一篇][下一篇]


发信人: popstar (死狼), 信区: Virus
标  题: Re: 终于找到一份比较详细的描述
发信站: 荔园晨风BBS站 (Thu Jun 26 17:03:03 2003), 站内信件



 值得注意的是金山所说的ScardSvr.exe
其实是系统的Smart Card Helper服务,不是墨非病毒exe文件

【 在 popstar (死狼) 的大作中提到: 】
: 病毒名称:Win32.Mofei.B
: 其它名称:W32.Femot.Worm, WORM_MOFEI.B
: 病毒属性: 病毒  危害性: 较高  流行程度: 普通
: 具体介绍:
:   Win32.Mofei.B是一种通过局域网传播的蠕虫病毒。
:   蠕虫程序采用UPX压缩,文件大小为32,354字节。蠕虫拷贝自己的副本文件以及一个
DLL库文件到%Windows%\System32下,
: DLL文件名为SCARDSVR32.DLL,也采用UPX压缩,大小为20,480字节。此DLL文件包含了蠕
虫主要的复制进程,且隐藏在进程LSASS.EXE和EXPLORER.EXE中。所以,系统重新启动时可
能会要求移除病毒。
:   蠕虫会修改注册表键值,以便系统下次启动时,病毒副本文件自动运行:
: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\SCardDrv =
"%Windows%\system32\scardsvr32.exe"
:   在WIN2000系统里,蠕虫替换一个名为"Smart Card Helper"的服务。需要注意的是,
原系统文件名为"scardsvr.exe":
: HKLM\SYSTEM\CurrentControlSet\Services\SCardDrv\ImagePath, with value
"%Windows%\System32\scardsvr32.exe -v"
:   蠕虫通过135和139端口来扫描网络。一旦发现目标机器,便试图拷贝自己到
System32\scardsvr32.exe下。并在Windows%\System32目录下生成一个日志文件MoFei.DAT
,用来记录搜索过的IP地址。
:   下列IP地址段中,蠕虫会随机搜索地址进行扫描:
: local subnet (255.255.0.0)
: 150.184.0.1 to 150.184.255.254
: 164.100.0.0 to 164.100.255.255
: 199.37.0.1 - 199.37.255.254
:   此蠕虫也具有木马的特性,会开启后门,允许远程控制被感染机器。此后门有以下一
些功能:
:  查看帮助信息
:  查看版本
:  终止程序
:  更改密码
:  改变端口
:  访问资源管理器
:  访问当前目录
:  修改文件夹
:  文件列表
:  删除文件
:  建立文件夹
:  删除文件夹
:  执行DOS命令
:  从互联网上下载文件
:  绑定一个端口
:  关闭绑定
:  --
: 突发感慨。。。。。。。。。
: 信誓旦旦的爱恋也会随着时间的流逝越来越淡……
: 师徒四人去西天取经。八戒常常偷懒。
: 这天,八戒又不见了,唐僧便让孙悟空去寻。
: 过了一会儿,孙悟空回来了,唐僧问:“八戒在干吗?”
: 孙悟空说:“师傅,八戒又在看popstar灌的水了。”
: ※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.36.57]


--
突发感慨。。。。。。。。。
信誓旦旦的爱恋也会随着时间的流逝越来越淡……
师徒四人去西天取经。八戒常常偷懒。
这天,八戒又不见了,唐僧便让孙悟空去寻。
过了一会儿,孙悟空回来了,唐僧问:“八戒在干吗?”
孙悟空说:“师傅,八戒又在看popstar灌的水了。”

※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.36.57]


[回到开始] [上一篇][下一篇]

荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店