|
 | 作者: nifuqin [nifuqin]
 论坛用户 |
登录 |
| 我瑞星升级到最新试过,杀完后让我重起。重起后暂时是没了。但没过2天就又检测到了。其他的专杀工具也试过很多了,但都没解决。是不是有什么补丁没打?? 感谢回复~!~~  |
| 地主 发表时间: 04-07-11 19:54 |
 | 回复: lijingxi [lijingxi]  见习版主 |
登录 |
|
病毒激活后会在系统目录下生成以下文件 scardsvr32.exe scardsvr32.dll MoFei.DAT MoFei.MIS MoFei.VER MoFei.ID 病毒使用的程序和动态链接库都采用了UPX进行压缩; 病毒会在注册表里添加启动项: 对于Win2000/WinXP HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SCardDrv]ImagePath = %SystemRoot%\system32\ScardSvr.exe ErrorControl = dword:00000000 Start = dword:00000003 Type =dword: 00000020 对于Win9x [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] SCardSvr = %Windows%\System32\SCardSvr.Exe 病毒会进行网络扫描,查找攻击目标,并用以下的密码表,穷举被攻击系统的超级用户密码; 病毒自带密码表: <NULL> stgzs security super oracle secret root admin password passwd pass 88888888 888888 00000000 000000 111 11111 111111 111 fan@ing* 54321 654321 12345678 1234567 123456 12345 1234 123 12 病毒破解成功后,将自身复制到远端计算机的系统目录下,通过admin$自动执行; 病毒会在受感染的系统内添加一个名为tsinternetuser的管理员用户。这是病毒的最终行为:在受感染的系统里留下一后门; 病毒使用的监听端口有可能是:445、139、135; 病毒提供了远端控制命令,并可以执行“批处理文件”,MoFei.MIS就是这样的文件; 病毒完成添加后门以后,可能会从网上下载一个自毁程序,名为:sckiller,用于自我删除; 病毒具有自我更新能力。 |
| B1层 发表时间: 04-07-12 20:22 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 病毒专区
标题: 【求助】我中了Mofeir病毒。怎么都杀不掉。请大家帮助分析