● 墨菲病毒(worm.mofei.b）的分析及手工清除方法 - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: sweetman (Love Library), 信区: Virus
标题: 墨菲病毒(worm.mofei.b）的分析及手工清除方法
发信站: 荔园晨风BBS站 (Wed Oct 22 18:48:57 2003), 站内信件

该蠕虫病毒主要攻击的系统是NT/2000/XP，蠕虫由以下文件组成：Scardsvr32.
exe、scardsvr32.dll、mofei.cfg、mofei.ver、mofei.dat.蠕虫作为服务执行，
蠕虫病毒不检查内存中的重复进程，病毒在windows95/98系统会写注册表键值
HKEY_ LOCAL_ MACHINE\Software\Microsoft\Windows\Current Version\Run
Services的SCardSvr=%Windows%System 32ScardSvr.exe，使病毒进程以后台服
务的形式存在；在windows NT系统病毒将创建服务来运行病毒，服务名称为
Smart Card Helper （服务指向病毒文件）；在windows 2000/XP病毒将修改系统
服务Smart Card Helper使其指向病毒文件来达到开机运行病毒的目的；病毒在内
存中可以有多个进程，蠕虫连接多个互联网IP地址，造成拒绝服务攻击。蠕虫通过
预先定义弱口令列表，尝试登录远程计算机和局域网内所有计算机。登录成功将自
己拷贝到远程计算机。病毒利用135和139端口在受感染的计算机跟远程计算机之间
传输信息，允许客户端进行操作。

　　病毒会在Windows NT/2000/XP系统中创建一个名为tsinternetuser的帐号，如
果计算机已经有了这个帐号，病毒会修改它的密码为6875 20，并将这个帐号加入
到本地管理员组。蠕虫程序有一些错误，在特定的计算机上运行会出现找不到
psapi. dll的错误提示

清除方法:
1.结束病毒进程SCARDSVR32.EXE，删除病毒文件。

(ctrl+alt+del--->终止scardsvr32.exe进程，然后搜索scardsvr32.*和mofei.*
删除之）

2.清除注册表键值(运行--->regedit)
HKEY_ LOCAL_ MACHINE\Software\Microsoft\Windows\Current Version\Run
Services的SCardSvr=%Windows%System32 Scardsvr.exe

3.清除服务：Win dows 2000/XP系统用注册表编辑器REGEDIT.EXE编辑主键HKEY_
LOCAL_MACHINE\SYSTEM\Current Control\SetServices\ScardDrv中的以下键的键值
（以下“=”号前的为对应的键，“=”后的为键值，“（）”中的值是十进制的显
示结果，“（）”前面的是16进制显示结果）：Image Path
=%SystemRoot%system32Scard Svr.exe Error Control=00000000(0)
Start=00000003（3）Type=00000020（32）如果是Windows NT系统直接删除以上键
值即可。

4.删除帐号tsin ternetuser或者修改其密码。

5.对局域网内计算机不要使用管理员来进行网络访问，可以创建不同用户来访问。

--
ftp://xiang:xiang@192.168.85.172:707

※ 修改:·sweetman 於 Oct 22 18:51:25 修改本文·[FROM: 192.168.85.172]
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.85.172]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店