.Re: 毛毛虫病毒(Bat.muma)分析报告 - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: GyeaonWoo (柏林恋人), 信区: Virus
标  题: Re: 毛毛虫病毒(Bat.muma)分析报告
发信站: 荔园晨风BBS站 (Wed Aug  6 21:55:35 2003), 站内信件

可以如下手工杀毒
【在 GyeaonWoo (柏林恋人) 的大作中提到: 】
: 病毒名称：Bat.muma
: 病毒类型：蠕虫
: 危害级别：中
: 传播速度：高
: 技术特征：
: 病毒采用批处理命令编写，并携带端口扫描工具，通过暴力破解被攻击的计算机超
: 级用户密码，进行疯狂传播。
: 病毒行为：
: 1。病毒可能复制以下文件到系统目录
: 10.bat             CMD下进入winnt\system目录，
: hack.bat           del 10.bat
: hfind.exe          del hack.bat
: ipc.bat            ………………
: muma.bat           修改你的密码
: near.bat           查看administrators组用户表,如果有admin这样一个用户,
: ntservice.bat      删了它
: ntservice.exe      在注册表删除以下主键：
: NTService.ini   Hkey_Local_MachineSystemCurrentControlSetServicesApplication

: nwiz.exe
: nwiz.in_
: nwiz.ini
: ipcpass.txt
: tihuan.txt
: rep.exe
: psexec.exe
: random.bat
: replace.bat
: ss.bat
: start.bat
: pcmsg.dll
: 2。病毒由Start.bat开始运行。这个批处理程序会调用其它批处理程序去完成传染
: ；
: 3。病毒会搜索从C：到H：盘中\MU目录以及其了目录下的所有文件，并把文件名保
: 存在LAN.LOG文件中。当被搜索的文件名中包含“MU”字符串时，nwiz.exe将被执
: 行，nwiz.exe根据nwiz.ini和nwiz.in_文件对病毒中的字符串进行简单的加密。这
: 个搜索过程完成后，LAN.LOG会被删除；
: 4。删除ipcfind.txt文件，调HFind.exe进行网络扫描，搜索网络中的计算机。并
: 试图使用以下的密码去破解被攻击的计算机。可能的密码是：
: password
: passwd
: admin
: pass
: 123
: 1234
: 12345
: 123456
: <密码为空>
: 5。被HFind.exe破解成功的计算机，会被病毒将上述的所有文件通过管理员文件共
: 享方式拷贝到其系统目录下。对于Windows NT、Windows200系统是C:
: \winnt\system32目录,对于WindowsXP系统是C:\winnt\system32或C:
: \Windows\system32目录，对于Win9X是C:\windows\system目录；
: 6。传染成功后，病毒会用Psexec.exe程序远程启动被感染计算机上的Start.bat，
: 从而使病毒在被感染的计算机上激活；
: 7。调用系统程序netstat.exe，然后运行Near.bat从netstat的输出信息中获得更
: 多的IP，并对这些IP进行攻击；
: 8。ss.bat创建或者修改系统中的admin用户，并设置其它密码为：KKKKKKK。为被
: 攻击计算机留下一个后门。
: 9。利用ntservice.bat调用ntservice.exe为自己注册一个名为"Application"的系
: 统服务，保证自己能在每次系统重启时被激。

--
终于能按照自己的内心写作了
却不能按照一个人的内心生活
花太香，只好梦蝶一场唉唉

※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.35.5]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店