病毒是“莫国防”的最新变种，感染可执行文件，利用微软RPC漏洞进行局域网传播，病毒发作时显示反日信息，同时造成系统死机。

　　一、病毒评估

　　病毒中文名：莫国防变种
　　病毒英文名：Win32.MGF.Hoker.10
　　病毒别名：中国红客
　　病毒类型：系统病毒
　　病毒危险等级：★★★★
　　病毒传播途径：文件/网络
　　病毒依赖系统：Windows NT/2000/XP

　　二、病毒的破坏

　　病毒能感染可执行文件，在文件的尾部增加长度为0x2800字节的病毒体，此外，病毒还能通过RPC DCOM的漏洞进行传播，但是由于病毒本身的BUG，会导致系统异常，极易造成死机。

　　三、病毒报告

　　该病毒变种除了具有原来变种病毒的功能，即可以修改ntldr进入零环、取得系统的最高控制权、感染可执行文件外，还增加了RPC DCOM漏洞探测攻击、局域网传播等功能。

　　病毒会修改kernel32.dll,拦截CreateProcessW函数，使用户运行任何可执行程序时都会执行病毒，病毒的代码一部分放在kernel32.dll中，另一部分放在分配的内存中。

　　在五月份的第四周病毒会发作，并显示一个对话框，对话框内容如下：

　　在8月15日，病毒还会在日文操作系统的系统目录下释放一个win.com的文件，此文件将显示一行文字：

　　You can not continue,because your country--Japan Killed 40,000,000 peoples since 1894-1945!!!!!

　　然后死机。