A Mogi féreg kifejezetten a fájlcserélő hálózatokon való terjedésre specializálódott, és a megfertőzött számítógépeken – a rootkit funkciója révén – igyekszik láthatatlanná válni.
A Mogi féreg egyik legrosszabb tulajdonsága, hogy úgynevezett rootkit funkciókkal is rendelkezik, amelyek révén megpróbálja a lehető legjobban elrejteni a fájljait. Ezáltal az eltávolítása sokszor nem egyszerű feladat. A féreg elsősorban fájlcserélő hálózatokról kerül rá a számítógépekre. A fertőzést követően előre meghatározott weboldalak ellen elosztott szolgáltatásmegtagadási támadásokat kezdeményez.
Amikor a Mogi féreg elindul, akkor az alábbi műveleteket hatja végre:
1. Bemásolja magát a Windows System könyvtárába
2. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run
kulcsaihoz hozzáadja a
"Services" = "iexplore.exe" értéket.
3. Létrehoz egy "iexplore" nevű mutexet annak érdekében, hogy egyszerre csak egy példányban fusson a kiszemelt számítógépeken.
4. Megpróbálja leállítani a biztonsági szoftverekhez tartozó folyamatokat.
5. Létrehozza a következő fájlokat:
%System%\ath.exe
%System%\balyoz.exe
%System%\bomba.exe
%System%\bonk.exe
%System%\jolt2.exe
%System%\kod.exe
%System%\sin.exe
%System%\suf.exe
%System%\syn.exe
%System%\smurf.exe
6. A Windows System könyvtárába bemásol egy covert.dll állományt, amely rootkit funkciókkal rendelkezik, és a fő feladata, hogy az előbbiekben létrehozott fájlokat elrejtse
7. Megpróbál minél több folyamatot megfertőzni.
8. Szolgáltatásmegtagadási támadásokat kezdeményez előre meghatározott weboldalak ellen.
9. Bemásolja magát a fájlcserélő szoftverek által használt könyvtárakba az alábbi fájlnevekkel:
Dragon_NaturallySpeaking_xp.exe
norton_2004_setup.exe
multi_password_cracker.exe.