社区应用 最新帖子 精华区 社区服务 会员列表 统计排行
主题 : 求救啊
级别: 新手上路
显示用户信息 
0  发表于: 2003-06-07   

求救啊

能帮我解决问题吗?
[img]http://album1.chinaren.com/album/92/34/1723492/544067.jpg[/img]
级别: 新手上路
显示用户信息 
13  发表于: 2003-06-10   
回复:求救啊
偶现全靠防火墙挡着。。。N多block记录、、、、、、、、寒

还是得重装说可能=.=

也好,换个系统玩~
[color=8F8B78]............ladypain make me stronge.....[/color]
级别: 新手上路
显示用户信息 
12  发表于: 2003-06-10   
回复:求救啊
最后我还是全部没了,重装
5555555555555555
级别: 新手上路
显示用户信息 
11  发表于: 2003-06-08   
回复:求救啊
哦 ,还是谢谢你
级别: 新手上路
显示用户信息 
10  发表于: 2003-06-08   
回复:求救啊
我之前也是有装瑞星的,刚中毒时瑞星都没发现,后来升级到最新版本,15.38.10版本,查杀了一些,但是都没杀干净,还会跳出发现病毒的对话框来,后来升到15.38.20版才杀到比较彻底,到现在是没什么事了。究竟完全好没是不懂了。。。。后怕中。。。。
[color=8F8B78]............ladypain make me stronge.....[/color]
级别: 新手上路
显示用户信息 
9  发表于: 2003-06-08   
回复:求救啊
我用普通的没发现诶
级别: 新手上路
显示用户信息 
8  发表于: 2003-06-08   
回复:求救啊
一定要最新的瑞星病毒库去查吗?
级别: 新手上路
显示用户信息 
7  发表于: 2003-06-08   
回复:求救啊
我的系统是刚装的,55555555555555
级别: 圣骑士
显示用户信息 
6  发表于: 2003-06-07   
回复:求救啊
就是最新的病毒发信人: Hussar (为了我的帝国·驰骋·忘记), 信区: Virus
标  题: 【转载】Bat.Mumu.A. Worm病毒(翻译)
发信站: 飘渺水云间 (Thu Jun  5 10:36:56 2003), 转信

发信人: doubleaf (doublegend), 信区: Virus
标  题: Bat.Mumu.A. Worm病毒(翻译)
发信站: BBS 水木清华站 (Thu Jun  5 10:04:19 2003), 转信

发信人: doubleaf (毕业生), 信区: Virus_Front
标  题: Bat.Mumu.A. Worm病毒的翻译(改进版)
发信站: 一塌糊涂 BBS (Thu Jun  5 10:00:18 2003), 本站(ytht.net)

蝙蝠穆穆袍蠕虫 (mumu: 穆穆袍(一种色彩鲜艳的女式宽大长袍,最初为夏威夷女子所穿,现
流行于美国全国)以后称之为“蝙蝠蠕虫”
2003年6月2日发现
最新校正:2003年6月3日 下午6:34:18
种类:2

蝙蝠蠕虫是一系列文件和效用的集合,也是一种叫Hacktool Hacline的黑客工具。文件名字
和功能可能会发生变化。下面提供的信息是基于安全反应所观察到的实例。
主要感染win nt,2000,xp系统。
在9X/ME下也执行,但是没有危害。
此蠕虫通过管理员共享感染windows NT,2000,XP系统。此蠕虫在WINDOWS 95/98/ME下也会发
作,但是对这些系统却没有任何的危害。

也被叫做:BAT/Mumu.worm(McAfee的叫法)
类型:蠕虫
感染范围:不等
感染系统:Windows 95,98.NT,2000,XP,Me
不会被感染的系统:Windows 3.x, Microsoft IIS, Macintosh, OS/2, UNIX, Linux

危险估计
危险度:低
破坏:低
传播:中等
有效载荷:(未给出)
退化性能:网络复制会导致病毒退化
传播:通过共享驱动器:通过管理员共享因为此蠕虫能破解密码。

技术细节:
此蠕虫是一互相利用通过管理员共享来感染win NT,2000,xp的系统的文件的大集合。
蠕虫用到的文件有:
10.bat:恶意批处理文件
hack.bat: 恶意批处理文件.
hfind.exe: 黑客工具,norton检测名为“Hacktool hacline”
ipc.bat: 恶意批处理文件.
muma.bat: 恶意批处理文件.
ntservice.bat: 恶意批处理文件,会造成Application 服务停止,并且根据安装协议运行
ntservice.exe ,然后再重新开始Application 服务
ntservice.exe:.创建一新服务,在NTService.ini文件内有描述
NTService.ini:此服务信息名为Application,会运行cmd.exe 和/c ss.bat
nwiz.exe: nVidia的合法应用程序
nwiz.in_:配置文件
nwiz.ini: 配置文件
ipcpass.txt: 文本文件
tihuan.txt: 文本文件.
rep.exe:. 以替代串行(strings)(此单词不知道怎么翻译好)的合法效用
psexec.exe:从Sysinternals来的合法效用,用以远程启动进程

random.bat: 恶意批处理文件.
replace.bat: 恶意批处理文件.
ss.bat:.批处理文件,会创建一个用户名为admin的帐户,同时在远程主机上运行psexec
start.bat: 恶意批处理文件.
pcmsg.dll: PcGhost的合法文件(不要和Symantec的克隆软件Ghost混淆了)

当蠕虫执行后,过程如下:
start.bat首先执行。此文件同时会带动另外几个文件以完成以下在系统上的动作。
1,寻找所有在C盘到H盘上的mu文件夹(包括子文件夹)里寻找所有文件,然后在文件夹里
保存
lan.log。如果列出的文件夹里包括一串"mu",那么nwiz.exe就会被激活执行。在 这一切完
成后,lan.log文件会被删除。
2,删除ipcfind.txt文件,然后激活“hfind.exe"这个黑客工具,norton称之为
jhacktool.hacline.传递到这个文件的命令行参数将是一列IP地址。这些范围将会以IP地址
的前
两个8位字节开始执行(IP地址是随机的)。0.1会被加进去,结尾是相同的前两个八位字节
,但是0.255被加进去。
HFIND.EXE会试图寻找管理员共享的密码并把这些信息保存为名为ipcfind.txt的文件.此工
具会用到以下密码
password passwd admin pass 123 1234 12345 123456 <blank>
3,把tihuan.txt文件替换为ipcfind.txt
4,对于每个hfind.exe发现的帐户,都试图通过管理员共享复制前面说的的文件到%system%文
件夹里。
注:%system%是可变的。蠕虫位于系统文件夹内,并把它自身复制到那个位置.默认情况下,应
该是c:windowssystem(win 9x/me) c:winntsystem32(win nt/2000)或者
c:windowssystem32(win xp)
5,如果这些文件被成功复制,病毒就会试图通过使用工具pcexec.exe来启动start.bat.这样
就会有效地启动在远程主机上的病毒.
6,此病毒还会执行netstat命令.然后,它会试图召集批处理文件near.bat,给它提供IP地址.
7,在win nt/2000/xp下,它还会创建一项新服务.默认名称为”application”此服务将会使
ss.bat在每次windows启动时自动运行
8.ss.bat创造或者修改帐户名为”admin”.并且指派个密码为KKKKKKK,并把它加入到管理员
组内.
Nwiz.ini 和Nwiz.in_ 文件是一样的.他们本来应该是nwiz.exe的配置文件,其中包括一些
经过简单加密的Strings.解释明白的话,他们包含一些登陆email服务器和发送邮
件必须的信息.因此,可能病毒作者打算用这些strings来给他(她)本
人发送被感染机器的信息 但是作者好像在他/她的逻辑上发生了错误,因为这个功能并没有
如预期的那样发挥作用.

杀毒说明:
1,禁止Windows Me/XP下的系统还原功能
2,找到并停止进程(如果可行的话)
3,找到并停止服务
4,对已被修改ADMIN账号进行修复
5,升级病毒库
6,全面检查系统,并且删除被监测到的病毒,如bat.mumu.A.Worm或者hacktool.hacline.
删除没有被检测到但是在上面提到的文件

--
少年聽雨歌樓上。紅燭昏羅帳。壯年聽雨客舟中。
江闊雲低、斷雁叫西風。而今聽雨僧廬下。鬢已星星也。
悲歡離合總無情。一任階前、點滴到天明。

※ 修改:.doubleaf 于 Jun  5 10:01:03 修改本文.[FROM: 211.71.193.82]
※ 来源:.一塌糊涂 BBS ytht.net.[FROM: 211.71.193.82]


[fly][color=green]To play ,or not to play,it's a question[/color][/fly]
级别: 光明使者
显示用户信息 
5  发表于: 2003-06-07   
回复:求救啊
不一定是病毒

有些安装程序会更改windows的一些dll文件

出现这个也很正常
做人要厚道……
描述
快速回复

按"Ctrl+Enter"直接提交