McAfee for Small Businesses

・W32/MoFei.wormは共有ネットワーク繁殖ワームで、自身をリモートマシンのADMIN$共有に自身をコピーして繁殖します。このワームはポート135および139でIPアドレスをスキャンし、簡単な管理者のユーザ名とパスワードを入力して、この共有へのアクセスを試みます。 W32/MoFei.wormにはいくつかの亜種があり、それぞれによって感染被害の詳細は異なります。

・このワームはドロッパファイルを含んでいます。Windows 98/Meシステム上で実行されると、c:\windows\system32ディレクトリに以下のファイルを作成します。

• navpw32.exe
• scardsvr32.exe（ドロッパファイル自身）

・また、次のレジストリキーを作成し、起動時に自身を読み込むようにします。

• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
  "NavAgent32" = "%WinDir%system32\scardsvr32.exe -v"

・Windows 2000システムでは、"Smart Card Helper"サービスのレジストリキーを改変し、自身をサービスとしてインストールします。システム起動時に自動的に起動します。以下のレジストリキーが存在します。

• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SCardDrv
  "ImagePath" = "C:\WINNT\system32\scardsvr32.exe -v"

・C:\WINNT\system32ディレクトリに以下のファイルが作成されます。

• scardsvr32.dll
• scardsvr32.exe（ドロッパファイル）

・W32/MoFei.wormは同じディレクトリに複数の一時ファイルまたはログファイルを作成することができます。以下のようなファイルがあります。

• mofei.cfg
• MoFei.DAT(スキャンされたIP addressesのログファイル)
• MoFei.ID
• ...

・Windows 2000システムでは、scardsvr32.dllファイルがシステムのlsass.exeとexplorer.exeのプロセス空間に挿入します。このため、駆除するためにはセーフモードで再起動する必要があります。ワームは以下のインターネットアドレスのポート1080または8080に接続しようとします。

• images.daemon.sh
• google.ods.org
• rsthost.ods.org
• rsthost1.ods.org
• rsthost2.ods.org
• rsthost3.ods.org
• windowsupdate.bsd.st

・W32/MoFei.wormは、ワーム本体のIPレンジセットと、192.168.x.xのIPレンジをスキャンし、ポート135および139に接続しようとします(亜種によっては異なります）。いずれかのマシンを見つけると、ワーム本体の管理者のパスワードを入力して、これらのマシンに接続を試みます。その後、リモートマシンに自身をコピーします(亜種によっては異なります）。

・W32/MoFei.wormは正当な権限をもつユーザのクレデンシャルを利用して感染システムにアクセスし、管理者共有を通じて自身を遠隔地のマシンに複製します。