W32.Mogi

W32.Mogi – червь, распространяющийся через файлообменные сети. Червь понижает настройки безопасности на скомпрометированном компьютере и может выполнять DoS атаки на сторонние ресурсы.

При первом запуске, W32.Mogi создает следующие файлы:

• %System%\layer.exe
• %System%\iexplore.exe

И добавляет значение "Services" = "iexplore.exe" к ключу реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Червь также завершает работу следующих процессов на зараженной системе:

• KAVPF.exe
• agentw.exe
• AckWin32.exe
• Claw95.exe
• Monitor.exe
• avpm.exe
• _AVP32.EXE
• AVP32.EXE
• vshwin32.exe
• f-stopw.exe
• APVXDWIN.EXE
• PAVPROXY.EXE
• VbCons.exe
• vbcmserv.exe
• _AVPCC.EXE
• GBPOLL.EXE
• TAUMON.EXE
• zonealarm.exe
• vsmon.exe
• zapro.exe
• PERSWF.EXE
• MPFAGENT.EXE
• MPFSERVICE.exe
• MPFTRAY.EXE
• VSHWIN32.EXE
• VSECOMR.EXE
• WEBSCANX.EXE
• AVCONSOL.EXE
• VSSTAT.EXE
• ALOGSERV.EXE
• CMGRDIAN.EXE
• RULAUNCH.EXE
• VSMAIN.EXE
• Mcshield.exe
• iamapp.exe
• iamserv.exe
• WrCtrl.exe
• WrAdmin.exe
• lockdown2000.exe
• Sphinx.exe
• BlackICE.exe
• blackd.exe
• rapapp.exe
• IAMAPP.EXE
• NISUM.EXE
• IAMSTATS.EXE
• LUSPT.exe
• ccApp.exe
• ccEvtMgr.exe
• ccPxySvc.exe
• NISSERV.EXE
• AUTODOWN.exe
• VET32.exe
• ETRUSTCIPE.exe
• MWATCH.exe
• EFPEADM.exe
• EVPN.exe
• cleaner3.EXE
• cleaner.EXE
• Navw32.exe
• AVXMONITOR9X.EXE
• AVXMONITORNT.EXE
• AVXQUAR.EXE
• NORMIST.EXE
• NVC95.EXE
• Claw95cf.exe
• Nupgrade.exe
• AVGCC32.EXE
• AVGCTRL.EXE
• AVGSERV.EXE
• ICSUPP95.EXE
• ICLOADNT.EXE
• IOMON98.EXE
• Vet95.exe
• VetTray.exe
• AutoDown.exe
• Rescue.exe
• WRADMIN.EXE
• GUARD.EXE
• DOORS.EXE
• PCCIOMON.EXE
• AvkServ.exe
• notstart.exe
• AVSYNMGR.EXE
• MINILOG.EXE
• VSMON.EXE
• BLACKD.EXE
• NMAIN.EXE
• IAMSERV.EXE
• GUARDDOG.EXE
• PERSFW.EXE
• LOCKDOWN.EXE
• LOCKDOWN2000.EXE
• SPHINX.EXE
• NPROTECT.EXE
• NDD32.EXE
• NETUTILS.EXE
• LDNETMON.EXE
• PORTMONITOR.EXE
• CONNECTIONMONITOR.EXE
• navapsvc
• NAVENGNAVEX15
• NAV Auto-Protect
• SymProxySvc.exe
• SweepNet
• SWEEPSRV.SYS
• AvSynMgr
• _AVPM.EXE
• AVPM.EXE
• NAVAPW32.EXE
• RTVSCN95.EXE
• DEFWATCH.EXE
• VPC32.EXE
• VPTRAY.EXE
• POPROXY.EXE
• NAVAPSVC.EXE
• ALERTSVC.EXE
• NAVLU32.EXE
• NAVWNT.EXE
• NPSSVC.EXE
• LUALL.EXE
• SWNETSUP.EXE
• ICLOAD95.EXE
• ICMON.EXE
• ICSUPP95.EXE
• ICSUPPNT.EXE
• IFACE.EXE
• ADVXDWIN.EXE
• PADMIN.EXE
• NWTOOL16.EXE
• NTVDM.EXE
• ANTS.EXE
• ANTI-TROJAN.EXE
• WRCTRL.EXE
• MOOLIVE.EXE
• MGHTML.EXE
• MCMNHDLR.EXE
• MCVSRTE.EXE
• MCVSSHLD.EXE
• MGAVRTCL.EXE
• MGAVRTE.EXE
• SCAN32.EXE
• SCRSCAN.EXE
• SYMTRAY.EXE
• VSCHED.EXE
• MCTOOL.EXE
• AVXW.EXE
• AVXQUAR.EXE.EXE
• AMON9X.EXE
• AVGW.EXE
• WEBTRAP.EXE
• PCCWIN98.EXE
• POP3TRAP.EXE
• TDS-3.EXE
• SS3EDIT.EXE
• JEDI.EXE
• MONITOR.EXE
• RAV7WIN.EXE
• RAV7.EXE
• SWEEP95.EXE
• MCAGENT.EXE
• MCUPDATE.EXE
• ntrtscan.EXE
• pccwin97.EXE
• pccntmon.EXE
• pcscan.EXE
• CLAW95.EXE
• CLAW95CF.EXE
• VET95.EXE
• VETTRAY.EXE
• AUTODOWN.EXE
• VET32.EXE
• ETRUSTCIPE.EXE
• MWATCH.EXE
• EFPEADM.EXE
• EVPN.EXE
• RESCUE.EXE
• ACKWIN32.EXE
• DVP95.EXE
• DVP95_0.EXE
• F-AGNT95.EXE
• F-PROT95.EXE
• EXPERT.EXE
• FP-WIN.EXE
• F-STOPW.EXE
• VIR-HELP.EXE
• F-PROT.EXE
• SPYXX.EXE
• ATWATCH.EXE
• ATUPDATER.EXE
• ATCON.EXE
• PVIEW95.EXE
• WGFE95.EXE
• CTRL.EXE
• LDPROMENU.EXE
• LDSCAN.EXE
• GENERICS.EXE
• PROCESSMONITOR.EXE
• PROGRAMAUDITOR.EXE
• AVSYNMGR.EXE
• TFAK.EXE
• LUCOMSERVER.EXE
• WIMMUN32.EXE
• AutoTrace.exe
• NWService.exe
• NTXconfig.exe
• NeoWatchLog.exe
• NSCHED32.EXE
• WATCHDOG.EXE
• ISRV95.EXE
• REALMON.EXE
• AVWINNT.EXE
• AVGSERV9.EXE
• avkpop.exe
• avkservice.exe
• avkwctl9.exe
• fsav32.exe
• fameh32.exe
• fch32.exe
• fih32.exe
• fnrb32.exe
• fsaa.exe
• fsgk32.exe
• fsm32.exe
• fsma32.exe
• fsmb32.exe
• sbserv.exe
• apvxdwin.exe
• gbpoll.exe
• gbmenu.exe
• pavproxy.exe
• Avgctrl.exe
• Avsched32.exe
• defscangui.exe
• navapsvc.exe
• defalert.exe
• npscheck.exe
• AckWin32
• vshwin32
• f-stopw
• APVXDWIN
• PAVPROXY
• vbcmserv
• zonealarm
• MPFSERVICE
• VSHWIN32
• WEBSCANX
• AVCONSOL
• ALOGSERV
• CMGRDIAN
• RULAUNCH
• GUARDDOG
• lockdown2000
• BlackICE
• IAMSTATS
• navapw32
• ccEvtMgr
• AUTODOWN
• ETRUSTCIPE
• cleaner3
• AVXMONITOR9X
• AVXMONITORNT
• Claw95cf
• Nupgrade
• ICSUPP95
• ICLOADNT
• AutoDown
• PCCIOMON
• notstart
• AVSYNMGR
• LOCKDOWN
• LOCKDOWN2000
• NPROTECT
• NETUTILS
• LDNETMON
• PORTMONITOR
• CONNECTIONMONITOR
• SymProxySvc
• NAVAPW32
• RTVSCN95
• DEFWATCH
• ALERTSVC
• SWNETSUP
• ICLOAD95
• ICSUPP95
• ICSUPPNT
• ADVXDWIN
• NWTOOL16
• ANTI-TROJAN
• MCMNHDLR
• MCVSSHLD
• MGAVRTCL
• PCCWIN98
• POP3TRAP
• MCUPDATE
• ntrtscan
• pccwin97
• pccntmon
• CLAW95CF
• ACKWIN32
• F-AGNT95
• F-PROT95
• VIR-HELP
• ATUPDATER
• LDPROMENU
• GENERICS
• PROCESSMONITOR
• PROGRAMAUDITOR
• AVSYNMGR
• LUCOMSERVER
• WIMMUN32
• AutoTrace
• NWService
• NTXconfig
• NeoWatchLog
• NSCHED32
• WATCHDOG
• AVGSERV9
• avkservice
• avkwctl9
• apvxdwin
• pavproxy
• Avsched32
• defscangui
• defalert
• npscheck

А также удаляет следующие файлы:

• %System%\ath.exe
• %System%\balyoz.exe
• %System%\bomba.exe
• %System%\bonk.exe
• %System%\jolt2.exe
• %System%\kod.exe
• %System%\sin.exe
• %System%\suf.exe
• %System%\syn.exe
• %System%\smurf.exe

Для распостранения в файлообменных сетях червь копирует себя в следующие папки:

• %ProgramFiles%\Donkey2000\incoming
• %ProgramFiles%\ICQ\shared files
• %ProgramFiles%\Morpheus\My Shared Folder
• %ProgramFiles%\Bearshare\Shared
• %ProgramFiles%\Gnucleus\Downloads
• %ProgramFiles%\Gnucleus\Downloads\Incoming
• %ProgramFiles%\Kazaa\My Shared Folder
• %ProgramFiles%\Limewire\Shared
• %ProgramFiles%\emule\incoming

Используя одно из следующих имен файлов:

• Dragon_NaturallySpeaking_xp.exe
• norton_2004_setup.exe
• multi_password_cracker.exe