bat.muma
危害级别:中
传播速度:高
技术特征:
该病毒采用批处理命令编写,并携带端口扫描工具,通过暴力破解被攻击的计算机超级用户Frethem/index.htm" target="_blank" style='text-decoration: underline;color: #0000FF'>密码,进行疯狂传播。
病毒行为:
1、病毒可能复制以下文件到系统目录
10.bat
hack.bat
hfind.exe
ipc.bat
muma.bat
near.bat
ntservice.bat
ntservice.exe
NTService.ini
nwiz.exe
nwiz.in_
nwiz.ini
ipcpass.txt
tihuan.txt
rep.exe
psexec.exe
random.bat
replace.bat
ss.bat
start.bat
pcmsg.dll
2、病毒由Start.bat开始运行。这个批处理程序会调用其它批处理程序去完成传染;
3、病毒会搜索从C:到H:盘中MU目录以及其了目录下的所有文件,并把文件名保存在LAN.LOG文件中。当被搜索的文件名中包含“MU”字符串时,nwiz.exe将被执行,nwiz.exe根据nwiz.ini和nwiz.in_文件对病毒中的字符串进行简单的加密。这个搜索过程完成后,LAN.LOG会被删除;
4、删除ipcfind.txt文件,调HFind.exe进行网络扫描,搜索网络中的计算机。并试图使用以下的密码去破解被攻击的计算机。可能的密码是:
password
passwd
admin
pass
123
1234
12345
123456
<密码为空>
5、被HFind.exe破解成功的计算机,会被病毒将上述的所有文件通过管理员文件共享方式拷贝到其系统目录下。对于Windows NT、Windows200系统是C:winntsystem32目录,对于WindowsXP系统是C:winntsystem32或C:Windowssystem32目录,对于Win9X是C:windowssystem目录;
6、传染成功后,病毒会用Psexec.exe程序远程启动被感染计算机上的Start.bat,从而使病毒在被感染的计算机上激活;
7、调用系统程序netstat.exe,然后运行Near.bat从netstat的输出信息中获得更多的IP,并对这些IP进行攻击;
8、ss.bat创建或者修改系统中的admin用户,并设置其它密码为:KKKKKKK。为被攻击计算机留下一个后门。
9、利用ntservice.bat调用ntservice.exe为自己注册一个名为"Application"的系统服务,保证自己能在每次系统重启时被激。