就是最新的病毒发信人: Hussar (为了我的帝国·驰骋·忘记), 信区: Virus
标 题: 【转载】Bat.Mumu.A. Worm病毒(翻译)
发信站: 飘渺水云间 (Thu Jun 5 10:36:56 2003), 转信
发信人: doubleaf (doublegend), 信区: Virus
标 题: Bat.Mumu.A. Worm病毒(翻译)
发信站: BBS 水木清华站 (Thu Jun 5 10:04:19 2003), 转信
发信人: doubleaf (毕业生), 信区: Virus_Front
标 题: Bat.Mumu.A. Worm病毒的翻译(改进版)
发信站: 一塌糊涂 BBS (Thu Jun 5 10:00:18 2003), 本站(ytht.net)
蝙蝠穆穆袍蠕虫 (mumu: 穆穆袍(一种色彩鲜艳的女式宽大长袍,最初为夏威夷女子所穿,现
流行于美国全国)以后称之为“蝙蝠蠕虫”
2003年6月2日发现
最新校正:2003年6月3日 下午6:34:18
种类:2
蝙蝠蠕虫是一系列文件和效用的集合,也是一种叫Hacktool Hacline的黑客工具。文件名字
和功能可能会发生变化。下面提供的信息是基于安全反应所观察到的实例。
主要感染win nt,2000,xp系统。
在9X/ME下也执行,但是没有危害。
此蠕虫通过管理员共享感染windows NT,2000,XP系统。此蠕虫在WINDOWS 95/98/ME下也会发
作,但是对这些系统却没有任何的危害。
也被叫做:BAT/Mumu.worm(McAfee的叫法)
类型:蠕虫
感染范围:不等
感染系统:Windows 95,98.NT,2000,XP,Me
不会被感染的系统:Windows 3.x, Microsoft IIS, Macintosh, OS/2, UNIX, Linux
危险估计
危险度:低
破坏:低
传播:中等
有效载荷:(未给出)
退化性能:网络复制会导致病毒退化
传播:通过共享驱动器:通过管理员共享因为此蠕虫能破解密码。
技术细节:
此蠕虫是一互相利用通过管理员共享来感染win NT,2000,xp的系统的文件的大集合。
蠕虫用到的文件有:
10.bat:恶意批处理文件
hack.bat: 恶意批处理文件.
hfind.exe: 黑客工具,norton检测名为“Hacktool hacline”
ipc.bat: 恶意批处理文件.
muma.bat: 恶意批处理文件.
ntservice.bat: 恶意批处理文件,会造成Application 服务停止,并且根据安装协议运行
ntservice.exe ,然后再重新开始Application 服务
ntservice.exe:.创建一新服务,在NTService.ini文件内有描述
NTService.ini:此服务信息名为Application,会运行cmd.exe 和/c ss.bat
nwiz.exe: nVidia的合法应用程序
nwiz.in_:配置文件
nwiz.ini: 配置文件
ipcpass.txt: 文本文件
tihuan.txt: 文本文件.
rep.exe:. 以替代串行(strings)(此单词不知道怎么翻译好)的合法效用
psexec.exe:从Sysinternals来的合法效用,用以远程启动进程
random.bat: 恶意批处理文件.
replace.bat: 恶意批处理文件.
ss.bat:.批处理文件,会创建一个用户名为admin的帐户,同时在远程主机上运行psexec
start.bat: 恶意批处理文件.
pcmsg.dll: PcGhost的合法文件(不要和Symantec的克隆软件Ghost混淆了)
当蠕虫执行后,过程如下:
start.bat首先执行。此文件同时会带动另外几个文件以完成以下在系统上的动作。
1,寻找所有在C盘到H盘上的mu文件夹(包括子文件夹)里寻找所有文件,然后在文件夹里
保存
lan.log。如果列出的文件夹里包括一串"mu",那么nwiz.exe就会被激活执行。在 这一切完
成后,lan.log文件会被删除。
2,删除ipcfind.txt文件,然后激活“hfind.exe"这个黑客工具,norton称之为
jhacktool.hacline.传递到这个文件的命令行参数将是一列IP地址。这些范围将会以IP地址
的前
两个8位字节开始执行(IP地址是随机的)。0.1会被加进去,结尾是相同的前两个八位字节
,但是0.255被加进去。
HFIND.EXE会试图寻找管理员共享的密码并把这些信息保存为名为ipcfind.txt的文件.此工
具会用到以下密码
password passwd admin pass 123 1234 12345 123456 <blank>
3,把tihuan.txt文件替换为ipcfind.txt
4,对于每个hfind.exe发现的帐户,都试图通过管理员共享复制前面说的的文件到%system%文
件夹里。
注:%system%是可变的。蠕虫位于系统文件夹内,并把它自身复制到那个位置.默认情况下,应
该是c:windowssystem(win 9x/me) c:winntsystem32(win nt/2000)或者
c:windowssystem32(win xp)
5,如果这些文件被成功复制,病毒就会试图通过使用工具pcexec.exe来启动start.bat.这样
就会有效地启动在远程主机上的病毒.
6,此病毒还会执行netstat命令.然后,它会试图召集批处理文件near.bat,给它提供IP地址.
7,在win nt/2000/xp下,它还会创建一项新服务.默认名称为”application”此服务将会使
ss.bat在每次windows启动时自动运行
8.ss.bat创造或者修改帐户名为”admin”.并且指派个密码为KKKKKKK,并把它加入到管理员
组内.
Nwiz.ini 和Nwiz.in_ 文件是一样的.他们本来应该是nwiz.exe的配置文件,其中包括一些
经过简单加密的Strings.解释明白的话,他们包含一些登陆email服务器和发送邮
件必须的信息.因此,可能病毒作者打算用这些strings来给他(她)本
人发送被感染机器的信息 但是作者好像在他/她的逻辑上发生了错误,因为这个功能并没有
如预期的那样发挥作用.
杀毒说明:
1,禁止Windows Me/XP下的系统还原功能
2,找到并停止进程(如果可行的话)
3,找到并停止服务
4,对已被修改ADMIN账号进行修复
5,升级病毒库
6,全面检查系统,并且删除被监测到的病毒,如bat.mumu.A.Worm或者hacktool.hacline.
删除没有被检测到但是在上面提到的文件
--
少年聽雨歌樓上。紅燭昏羅帳。壯年聽雨客舟中。
江闊雲低、斷雁叫西風。而今聽雨僧廬下。鬢已星星也。
悲歡離合總無情。一任階前、點滴到天明。
※ 修改:.doubleaf 于 Jun 5 10:01:03 修改本文.[FROM: 211.71.193.82]
※ 来源:.一塌糊涂 BBS ytht.net.[FROM: 211.71.193.82]
