A Mogi féreg kifejezetten a fájlcserélő hálózatokon való terjedésre specializálódott, és a megfertőzött számítógépeken – a rootkit funkciója révén – igyekszik láthatatlanná válni.

 

A Mogi féreg egyik legrosszabb tulajdonsága, hogy úgynevezett rootkit funkciókkal is rendelkezik, amelyek révén megpróbálja a lehető legjobban elrejteni a fájljait. Ezáltal az eltávolítása sokszor nem egyszerű feladat. A féreg elsősorban fájlcserélő hálózatokról kerül rá a számítógépekre. A fertőzést követően előre meghatározott weboldalak ellen elosztott szolgáltatásmegtagadási támadásokat kezdeményez.

Amikor a Mogi féreg elindul, akkor az alábbi műveleteket hatja végre:

1. Bemásolja magát a Windows System könyvtárába

2. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run
kulcsaihoz hozzáadja a
"Services" = "iexplore.exe" értéket.

3. Létrehoz egy "iexplore" nevű mutexet annak érdekében, hogy egyszerre csak egy példányban fusson a kiszemelt számítógépeken.

4. Megpróbálja leállítani a biztonsági szoftverekhez tartozó folyamatokat.

5. Létrehozza a következő fájlokat:
%System%\ath.exe
%System%\balyoz.exe
%System%\bomba.exe
%System%\bonk.exe
%System%\jolt2.exe
%System%\kod.exe
%System%\sin.exe
%System%\suf.exe
%System%\syn.exe
%System%\smurf.exe

6. A Windows System könyvtárába bemásol egy covert.dll állományt, amely rootkit funkciókkal rendelkezik, és a fő feladata, hogy az előbbiekben létrehozott fájlokat elrejtse

7. Megpróbál minél több folyamatot megfertőzni.

8. Szolgáltatásmegtagadási támadásokat kezdeményez előre meghatározott weboldalak ellen.

9. Bemásolja magát a fájlcserélő szoftverek által használt könyvtárakba az alábbi fájlnevekkel:
Dragon_NaturallySpeaking_xp.exe
norton_2004_setup.exe
multi_password_cracker.exe.