学校主页 首页 新闻信息 工作流程 基础服务 教师服务 学生服务 部门服务 安全相关 培训管理 下载专区 常见问答

墨菲病毒专杀工具(更新时间:2004-12-31)

来源: 信息化办     作者: admin     日期:2005-01-19     

ravmofei.exe

    “墨菲(Trojan.MoFei.a)”病毒的详细特征如下: 

    一 病毒本身被压缩

    该病毒采用UPX压缩,使自身能更迅速地通过网络传播,主要感染win2k、NT、XP、2003server等操作系统。

    二 释放病毒到系统

    该病毒运行后,会释放三个病毒体到系统目录下:SCARDSVR32.EXE是病毒主体,SCARDSVR32.DLL是病毒的主功能模块,MOFEI.CFG是病毒的配置信息。

    三 修改注册表自启动

    病毒会通过修改注册表的旧式智能卡驱动程序的注册项来启动自身。相应注册表键值为:HKLM\SYSTEM\ControlSet001\Services\SCardDrv\ImagePath。将原来为"%SystemRoot%\System32\SCardSvr.exe"的内容替换为: %SYSDIR%\%CURFILE% -v。

    四 扫描计算机、破解密码、复制病毒体。

    病毒运行时会进行全网IP扫描,然后试图以下列用户名:wachen 、shhung 、 cesil 、corden 、smchou 、rober 、hychen 、flora 、cthsieh 、yhchen 、tcpang 、admin,

以下列密码:<空> 、stgzs、security、super、oracle、secret、root、admin、password、passwd、pass、88888888、888888、00000000、000000、111、11111、111111、111、fan@ing*、54321、654321、12345678、1234567、123456、12345、1234、123、12进行登陆。

    登陆成功后便会复制文件到下列目录并试图启动病毒:

\\%s\ADMIN$\System32\Scardsvr32.exe
\\%s\ADMIN$\System32\MoFei.VER
\\%s\IPC$\System32\Scardsvr32.exe
\\%s\IPC$\System32\MoFei.VER

    五 给系统添后门

    病毒会在当前系统中添加新用户“tsinternetuser”到管理员组,并设置口令,然后将自己植入到IEXPLORER.EXE和LSASS.EXE中,随着浏览器的启动而启动。     病毒还会定时到指定的网站上下载程序。

    六 获取用户信息。

    病毒运行后会收集用户计算机上的:

free space(硬盘自由空间大小)、

total space(硬盘所有空间大小) 、

volume ID(磁盘ID) 、

volume name(硬盘卷标) 、

disk type(磁盘类型)、

available physical memory(可用物理内存) 、

physical memory(全部物理内存) 、

processor type(处理器类型) 、

IP address(IP地址)、

computer name(计算机名)等信息。

,


关于我们
组织架构
人员队伍
工作职责
内部管理
大事记
荣誉表彰
IT基础架构建设
机房建设
IPv6
信息化校园概况
建设规划
信息化校园服务
服务体系概况
运行服务管理规范
运行服务辅助工具
用户服务与培训
信息化校园应用
统一信息门户
校园网络文化
易佳网简介
奖章与荣誉