Вирус Моги се невидљиво шири измењивачима датотека

Црв Моги је специјализован за ширење преко мрежа за дељење датотека и покушава да постане невидљив на зараженим рачунарима кроз своју руткит функцију.

Једна од најгорих карактеристика Моги црва је то што има и такозване рооткит функције, преко којих покушава да сакрије своје датотеке што је боље могуће. Као резултат тога, његово уклањање често није лак задатак. Црв углавном долази на рачунаре преко мрежа за дељење датотека. Након инфекције, покреће дистрибуиране нападе ускраћивања услуге против унапред дефинисаних веб локација.

Када се Моги црв покрене, он обавља следеће радње:

1. Копира се у системски директоријум Виндовс

2. База података о регистрацији
ХКЕИ_ЛОЦАЛ_МАЦХИНЕ \ СОФТВАРЕ \ Мицрософт \ Виндовс \ ЦуррентВ ерсион \ Рун
ХКЕИ_ЛОЦАЛ_МАЦХИНЕ \ СОФТВАРЕ \ Мицрософт \ Виндовс \ ЦуррентВ ерсион \ Рун
додаје вашим кључевима
„Услуге“ = „иекплоре.еке“.

3. Креира мутекс под називом "иекплоре" за покретање само једне инстанце у исто време на изабраним рачунарима.

4. Покушава да заустави процесе повезане са сигурносним софтвером.

5. Креирајте следеће датотеке:
%Систем%\атх.еке
%Систем%\балиоз.еке
%Систем%\бомб.еке
%Систем%\бонк.еке
%Систем%\јолт2.еке
%Систем%\код.еке
%Систем%\син.еке
%Систем%\суф.еке
%Систем%\син.еке
%Систем%\смурф.еке

6. Копирајте датотеку цоверт.длл у системски директоријум Виндовс, који има рооткит функције и чији је главни задатак да сакрије датотеке креиране изнад

7. Покушава да зарази што више процеса.

8. Покреће нападе ускраћивања услуге на унапред одређене веб локације.

9. Копирајте се у директоријуме које користи софтвер за размену датотека са следећим називима датотека:
Драгон_НатураллиСпеакинг_кп.еке
нортон_2004_сетуп.еке
мулти_пассворд_црацкер.еке.