● Re: #####哈哈，我也中了！##### - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: GyeaonWoo (柏林恋人), 信区: Virus
标题: Re: #####哈哈，我也中了！#####
发信站: 荔园晨风BBS站 (Thu Sep 11 19:23:41 2003), 站内信件

看看是不是这个：

Win32.valla.2048也叫win32.xorala.2048, 它是win32病毒，感染Windows目录及
系统目录下的可执行文件。运行时，病毒会在本地驱动器中查找PE形式的Windows
可执行文件(即*.EXE)，并感染。感染的文件生成名为“XOR”的节表（Section
table），文件大小增加2,048字节。

现象：运行时，弹出一个WINDOWS文件保护的框，内容大概是，有文件已被改变，
需要放入WINDOWS2000的安装盘，进行恢复。进程里多了几十个CMD.EXE. 机器速
度很慢。还有PING.EXE FHIDE.EXE

传染分析：这个病毒通常伴随着另一个病毒bat.mumu而传染的。蠕虫Mumu是一种批
处理脚本文件，也是可执行的配置文件以及初始化文件。蠕虫的文件包括恶意代码
程序、黑客工具以及正常的卸载工具。蠕虫通过局域网传播，并试图破解远端电脑
超级用户的口令从而获得权限。蠕虫会使用其自带的字典进行破解，如果成功，蠕
虫会将自己的所有文件都拷贝到远端电脑的系统目录下，并运行启始脚本。这些文
件主要有：

l start.bat – 初始批处理脚本，使用不同参数执行文件muma.bat、10.bat以及
near.bat

l muma.bat -运行 PCGhost 程序

l 10.bat – 使用HFind.exe程序扫描C类网端，并运行ipc.bat

l near.bat – 在可连接的机器列表中搜索易受攻击的系统

l ntservice.bat – 调用ntservice.exe

l ss.bat – 在系统增加一个帐号admin

l replace.bat – 调用文件"rep.exe" 用来修复格式化后的IPCFind.txt

l ipc.bat – 运行文件hack.bat

l hack.bat – 复制所有的程序到目标机器并在远端机器上运行 start.bat

l HFind.exe – 木马PCScan - scans a range of IP addresses and hacks
passwords

l nwiz.exe – pcGhost程序

l pcMsg.dll – 程序pcGhost的一部分

l nwiz.ini -初始化文件

l nwiz.in_ - 初始化文件病毒自带的端口扫工具

l psexec.exe – 远程进程执行工具

l rep.exe – Replace命令程序

l IPCPass.txt – 字典（密码列表）

l IPCFind.txt – 木马PCScan输出的文件

l tihuan.txt – 用来格式化文件IPCFind.txt

l A.LOG – 临时日志文件

l LAN.LOG -临时日志文件

l B.TMP –记录目标网段内用Ping命令得到的结果

具体流程：START.BAT首先被执行，设定扫描网段，调用并控制其他文件的运行。
1. 10.BAT 调用HFind.exe扫描指定的网段。 2. hfind.exe是一个IPC扫描工具，
将默认用户登陆密码设置为空的机器的IP地址记录下来，保存到IPCFind.txt，默
认端口是139。 3. replace.bat 调用rep.EXE把IPCFind.txt的文本信息转换为病
毒可以使用的格式。 4. ipc.bat读取IPCFind.txt中的每一条IP和帐号信息，调用
hack.bat进行攻击。 5. hack.bat是入侵模块。它使用net use指令，以取得的默
认帐号对指定ip进行ipc连接，然后拷贝当前目录下的21个病毒文件到对方机器的
系统目录（admin$system32）下面。最后远程启动ntservice.bat。 6.
ntservice.bat的任务是调用ntservice.exe，在系统中启动名称为“
Application”的服务。该服务运行的结果是调用ss.bat。 7.ss.bat使用net
user命令在系统增加一个帐号admin，密码为KKKKKKK，并添加到管理员组。最后以
此帐号和密码登陆127.0.0.1（就是被感染机器），以管理员的身份调用START.
BAT。这样，新一轮的攻击又开始了。

由于该病毒频繁扫描网络，会向网络发大量数据包，所以大大降低了网络速度。另
外，该病毒本身不会破坏系统文件，但是在传播过程中，其中的HFind.exe等exe文
件感染病毒Win32.Valla，结果用户的机器被入侵后,系统中大量的.exe文件会被破
坏。

具体解决方法：

l 最好关掉WIN2000下的共享，查杀的时候最好从网络上断开

l 在系统的“用户和组”的选项内，将ADMIN这个增加的用户删掉。

l 已安装KILL6的用户，在升级到最新的特征码后是可以防住这两个病毒的，如果
一旦被感染，可以将系统启动到安全模式下做扫描。

l 如果有文件清除不干净，主要的文件是EXPLORER.EXE和RUNDLL32.EXE，可能是改
名，你可以用软盘从干净的WIN2K系统拷贝或者直接从WIN2K安装盘解出这两个文件
（假定光盘在G：，具体操作是：expand G:I386explorer.ex_ c:explorer.exe）
，然后将该文件拷贝到相应的目录。

注意：WIN2K的PRO和SERVER版本的文件是不一样的。

最后，重新启动机器，在正常启动的系统中再进行查杀。

另一篇文章：

用以下两个专杀工具，这两个病毒处理起来是非常简单的，处理速度很快，效果也
不错。下载地址： www.vrv.com.cn/tools/killbat.com www.vrv.com.
cn/tools/killxorala.com 下载完成后，直接运行即可以下是两种病毒的分析报告
： Win32.Xorala病毒分析报告

------------------------------------------------------------------------
--------

病毒名称：Win32.Xorala

其它名称：W32/Valla, Win32.Valla.204

病毒属性：病毒

危害性：普通

流行程度：普通

症状:

感染PE形式的可执行文件(*.exe)。

具体介绍：

Win32.Xorala是一种Win32病毒，为非常驻型病毒，感染PE形式的 Windows可执行
文件(*.EXE)，并在Windows 9x / NT 系列中可正常活动.

在感染过程中，Win32.Xorala会在被感染文件中添加一个名为"XOR" 的区域，并往
其中添加自己的病毒代码，大小为2048字节。该病毒在文件内搜索XOR文字，使不
再感染。该病毒除感染文件之外，没有其它病毒.

病毒Win32.Xorala的代码中包含下列隐含信息：

"-= XOR 2009 Valhalla =- Assembled 1997 .. Activated 07.2002 - devoted
for peace and harmony in universe against war, racism, terrorism and
cruel brutality .. remember .. life is the most important thing - not
money .. it“s time for a revolution NOW ...."

清除方法:

下载专杀工具清除病毒.

http://www.vrv.com.cn/tools/killxorala.com

病毒名称：I-WORM.Muma.Bat.A 病毒类型：蠕虫执行环境：
Windows95/98/NT/2000/XP 传播途径：管理共享危害程度：中病毒特征：

该病毒由许多个文件组成，具体如下： 10.bat hack.bat ipc.bat muma.bat
near.bat random.bat replace.bat start.bat（病毒传播的首文件） ss.bat（用
于创建一个管理员帐号来在远程系统上运行psexec.exe） rep.exe（用于响应批处
理文件调用来复制文件的正常程序） tihuan.txt nwize.exe（nVidia程序）
nwize.in_（nwize.exe的配置文件） nwize.ini（nwize.exe的配置文件）
pcMsg.dll（pcGhost的一个正常的dll文件） psexec.exe（启动远程程序的工具）
hfind.exe（红客联盟的弱口令扫描工具） ipcpass.txt（hfind.exe的密码库文
件） ntservice.exe（根据ntservice.ini中的配置来创建一个服务，服务启动运
行“cmd.exe /c ss.bat”） ntservice.bat（用于application服务的安装和启动
） ntservice.ini（ntservice.exe的配置文件）

病毒首先从start.bat文件开始执行，运行中调用了一系列的批处理文件，病毒首
先遍历本地的C盘到H盘的所有本地硬盘并将结果写入到文件lan.log中，然后判断
lan.log文件中是否包含MU字符串，如果有就删除该日志文件；接下来病毒会尝试
删除文件ipcfind.txt（hfind.exe查找的结果记录文件），然后运行hfind.exe（
红客联盟出品的一个命令行nt弱口令扫描工具，由于需要输入固定的ip段作为扫描
的参数，病毒首先随机取得了ip地址的前两个字段的值，后两个字段固定取值0.1
到0.254），hfind.exe运行将调用密码库ipcpass.txt文件，如果该文件为空，
hfind.exe将取以下默认密码来穷举局域网中管理共享（admin$）的密码：空密码
用户名用户名123 用户名1234 password passwd admin pass 123 1234 12345
123456

并将结果写到文件ipcfind.txt中；接着病毒通过批处理文件replace.bat调用程序
rep.exe将ipcfind.txt中的内容写到新文件Tihuan.txt当中，并将原文件删除，然
后病毒利用某台计算机管理共享的弱口令(在tihuan.txt中)将病毒文件拷贝到这台
机器的admin$system32（对应从本机查看的%systemroot%system32目录）当中，并
用本机的start.exe（系统程序）调用psexec.exe来将该远程计算机中的start.
bat文件启动起来。

病毒在完成以上操作以后会运行程序netstat.exe，并将输出结果记录到文件a.
tmp，然后病毒调用文件near.bat，并将ip地址提供给它。在windows NT/2000/XP
操作系统上，病毒会通过netservice.bat来调用netservice.exe加参数-install安
装一个服务（为了防止出现提示信息，批处理文件中全部把屏幕输出到了一个临时
文件a.tmp当中），服务的名称为application，服务启动会执行程序“cmd /c
ss.bat”，而ss.bat文件用于在本地生成一个叫做admin的用户（密码设置为
KKKKKKK），并将其加入管理员组，然后以这个用户身份在本地计算机运行start.
bat。

至此，病毒运行的全部过程就是如此，由于病毒在start.bat文件中加入了goto
start参数，start.bat将无限制的运行下去，可能会导致cpu资源出现不足的情况
，而且由于hfind.exe对网络的扫描，可能会造成局域网拥塞的现象发生。但是由
于病毒本身存在的缺陷，可能会造成在不同的系统上有不同的表现。

病毒清除

1. 使用专杀工具查后；删除帐户admin或者是修改其密码、将其从管理员组删除；
修改管理员administrator的密码到比较安全的地步（一般认为7位或者是14位为比
较安）. 2. 手工清除方法： 1. 杀掉以下进程 cmd.exe ping.exe find.exe
hfind.exe psexec.exe 2. 在服务管理器中停止服务application，并进入注册表
删除以下主键：
Hkey_Local_MachineSystemCurrentControlSetServicesApplication 3. 进入
%systemroot%system32目录删除所有与病毒相关的文件
【在 jia (jia) 的大作中提到: 】
: 中了病毒以后，老是跳出对话匡：windows文件保护
: 正常运行 windows所需的文件已被替换成无法识别的版本，要保持系统的稳定，
: windows必须复原这些文件的原由版本。
: 现在插入您的windows 2000 professional cd-rom。
: 哈哈，在家里就中招了，只好重装，没想到来了学校又打了个照面！！！！
: 该怎么杀呢？
: 【在 Adaqun (桑德拉) 的大作中提到: 】
: : 我的c盘也越来越小了，救命啊

--
暧昧中透出薄雾的晨花无意间岁月发出的嫩芽
浅笑里波光闪动的艳影惬意后醉了眉眼的旧话
旧梦中锋利的剑与白马传说里等情人白了头发
追忆前寒窗明月的红腊多年后流水洗尽的铅华
桃李春风一杯酒江湖夜雨十年灯紫薇雨中几度开良人梦里撑伞来

※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.35.5]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店