赛门铁克报这是一个蠕虫病毒生成的文件。
rep.exe:用于替换字符串的合法实用程序。
----------------------------------------------
BAT.Mumu.A.Worm 是一个大型文件集,这些文件利用彼此通过 Windows NT、2000 和 XP 系统上的管理共享进行传播。所用文件如下所示:
10.bat:恶意批处理文件。
hack.bat:恶意批处理文件。
hfind.exe:将被检测为 Hacktool.Hacline 的入侵工具。
ipc.bat:恶意批处理文件。
muma.bat:恶意批处理文件。
near.bat:恶意批处理文件。
ntservice.bat:恶意批处理文件,它将停止“应用程序”服务,使用 -install 参数运行 ntservice.exe,然后启动“应用程序”服务。
ntservice.exe:用 UPX 打包的可执行文件,它将创建 NTService.ini 中描述的服务。
NTService.ini:名为“应用程序”的服务的信息,它将运行 cmd.exe /c ss.bat。
nwiz.exe:来自 nVidia 的合法程序。
nwiz.in_:配置文件。
nwiz.ini:配置文件。
ipcpass.txt:文本文件。
tihuan.txt:文本文件。
rep.exe:用于替换字符串的合法实用程序。
psexec.exe:来自 Sysinternals 的合法实用程序,可以远程启动进程。
random.bat:恶意批处理文件。
replace.bat:恶意批处理文件。
ss.bat:批处理文件,它将创建 admin 用户,并在远程计算机上运行 psexec。
start.bat:恶意批处理文件。
pcmsg.dll:来自 pcGhost 实用程序的合法文件(不要与 Symantec 克隆软件 Ghost 混淆)。
执行此蠕虫时,将会执行下列操作:
首先执行 Start.bat。 此文件将调用其他几个文件在系统上执行下列操作:
查找驱动器 C: 到 H: 中位于文件夹 \MU(包括子文件夹)中的所有文件,然后将它们保存到 LAN.LOG 文件中。如果所列出的任何文件中包含字符串“MU”,都将启动 nwiz.exe。 此过程完成后,将删除 LAN.LOG。
删除文件 ipcfind.txt 并调用入侵工具 Hfind.exe,Norton AntiVirus 将该工具检测为 Hacktool.Hacline。传递给此文件的命令行参数将是一个 IP 地址范围。 该范围将以 IP 地址的前两个八位字节(随机排列)开头,后跟 .0.1,结尾同样为 IP 地址的前两个八位字节,但后跟.255.255。
Hfind.exe 将尝试找到管理共享的密码,并将此信息保存到 ipcfind.txt 文件中。该工具将使用下列密码:
password
passwd
admin
pass
123
1234
12345
123456
<blank>
使用 ipcfind.txt 替换 Tihuan.txt 文件。
对于 Hfind.exe 所发现的任何帐户,尝试使用管理共享将所有上述文件复制到 %System% 文件夹中。
注意:%System% 是一个变量。蠕虫会找到 System 文件夹,并将自身复制到其中。默认情况下,此文件夹为 C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000) 或 C:\Windows\System32 (Windows XP)。
如果文件被成功复制,蠕虫将尝试使用工具 psexec.exe 启动 start.bat。这将有效启动远程计算机上的蠕虫。
蠕虫将在系统上运行 netstat 命令。 然后,它将尝试调用批处理文件 Near.bat,并为其提供 IP 地址。
在 Windows NT/2000/XP 下,蠕虫将创建一个默认名称为“应用程序”的服务。 此服务将使得在每次启动 Windows 时运行 ss.bat 文件。
Ss.bat 创建或修改 admin 帐户,并为其分配密码 KKKKKKK,然后将该帐户添加到 Administrators 组中。
Nwiz.ini 和 Nwiz.in_ 文件相同。 它们应该是 nwiz.exe 的配置文件。但是,这两个文件包含几个被普通加密的字符串。
解密后的文件中包含登录到电子邮件服务器以及发送电子邮件所需的信息。 由此可以推断,作者可能打算使用这些字符串从受感染系统发送私人信息。 但是,该作者显然是犯了某些逻辑错误,因为此功能未能如愿实现。
