荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: GyeaonWoo (柏林恋人), 信区: Virus
标 题: Re: 中了这两个毒,请问严重吗?
发信站: 荔园晨风BBS站 (Sat Sep 13 16:29:16 2003), 站内信件
病毒名称:Wrom.Mofeir
病毒类型:蠕虫
危害级别:高
传播速度:中
技术特征:
该病毒采用穷举密码的方法破解远端系统的密码,并以此进行传播。在受感染计算
机上留下一个后门。病毒使用UPX进行压缩。
技术细节:
病毒激活后会在系统目录下生成以下文件
scardsvr32.exe
scardsvr32.dll
MoFei.DAT
MoFei.MIS
MoFei.VER
MoFei.ID
病毒使用的程序和动态链接库都采用了UPX进行压缩;
病毒会在注册表里添加启动项:
对于Win2000/WinXP
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SCardDrv]ImagePath
= %SystemRoot%\system32\ScardSvr.exe
ErrorControl = dword:00000000
Start = dword:00000003
Type =dword: 00000020
对于Win9x
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunService
s]
SCardSvr = %Windows%\System32\SCardSvr.Exe
病毒会进行网络扫描,查找攻击目标,并用以下的密码表,穷举被攻击系统的超级
用户密码;
病毒自带密码表:
<NULL>
stgzs
security
super
oracle
secret
root
admin
password
passwd
pass
88888888
888888
00000000
000000
111
11111
111111
111
fan@ing*
54321
654321
12345678
1234567
123456
12345
1234
123
12
病毒破解成功后,将自身复制到远端计算机的系统目录下,通过admin$自动执行;
病毒会在受感染的系统内添加一个名为tsinternetuser的管理员用户。这是病毒的
最终行为:在受感染的系统里留下一后门;
病毒使用的监听端口有可能是:445、139、135;
病毒提供了远端控制命令,并可以执行“批处理文件”,MoFei.MIS就是这样的文
件;
病毒完成添加后门以后,可能会从网上下载一个自毁程序,名为:sckiller,用于
自我删除;
病毒具有自我更新能力。
【 在 freemanz (可乐) 的大作中提到: 】
: worm.mofeir.b.38874
: worm.mofeir.dl.b.20480
--
暧昧中透出薄雾的晨花 无意间岁月发出的嫩芽
浅笑里波光闪动的艳影 惬意后醉了眉眼的旧话
旧梦中锋利的剑与白马 传说里等情人白了头发
追忆前寒窗明月的红腊 多年后流水洗尽的铅华
桃李春风一杯酒 江湖夜雨十年灯紫薇雨中几度开 良人梦里撑伞来
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.35.5]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店