蠕虫病毒＂木木＂（Worm_Mumu.A）

from http://www.yt165.com/net/intro.asp

国家计算机病毒应急处理中心通过监测，于6月26日在我国和美国等国家发现一种通过互联网传播专门盗取“奇迹”和“传奇”游戏账号的蠕虫病毒——“木木”（Worm_MuMu.A）。
该病毒运行后将从体内放出PSIpcScan对所在网段的系统进行ipc密码破解（带有一个简单密码字典），当发现有破解出的密码后，病毒将自己复制到对方的系统利用psexec并启动，可以在网络中迅速传播。同时病毒将盗取到的账号密码发送到预置的信箱reint0.student@sina.com，sendmail2.student@sina.com和cq@58589.com。其中，病毒还利用某网站发送邮件，该网站自称“密码圣手”专门销售用于截取传奇、奇迹等游戏的登陆ID、密码、服务器等。病毒可随计算启动自动运行，并可躲避杀毒软件。

　有关病毒的技术分析报告如下：

　　一、 感染系统
　　　　Windows 95/98/Me/NT/2000/XP

　　二、 技术特点

　　　 病毒名称：“木木”（Worm_Mumu.A）

　　　 病毒类型：蠕虫

　　　 病毒特征：

该病毒的程序使用Visual C++编制，主要感染系统为Windows 9x、Windows NT/2K 和Windows XP。病毒程序MUMU.EXE运行后释放出以下组件：

%Windows%/bboy.exe (21KB)
%System%/last.exe (21KB)
%System%/bboy.dll (37KB)
%System%/kavfind.exe (31KB)
%System%/psexec.exe (37KB)
%System%/IPCPass.txt (1KB)
%System%/mumu.exe (295KB)

（注：其中 %Windows% 为Windows缺省安装目录通常为C:/Windows or C:/WINNT。 %System%为Windows系统目录， Windows 95/98/ME系统位于 C:/Windows/System, Windows 2000/NT 系统位于C:/WINNT/System32 , Windows XP系统位于C:/Windows/System32）
其中BBOY.EXE和LAST.EXE是相同的 ，BBOY.DLL用于键盘截获。IPCPass.txt 含有预置的密码字典。PSEXEC.EXE 是sysinternals.com 发布的正常程序，用于远程启动程序。KAVFIND.EXE是另一个已有木马程序，它主要用于利用密码字典对C类地址进行扫描，然后进行口令猜测攻击。一旦攻击成功，将mumu.exe 拷贝到远程系统目录下，并使用PSEXEC.EXE激活病毒。

病毒将截获的游戏口令保存在文件%Windows%/QJINFO.INI中，并将该文件发送到reint0.student@sina.com和sendmail2.student@sina.com和cq@58589.com。

病毒添加注册表键值，使得病毒能随系统启动而自动运行，
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
Kernel ="%Windows%/bboy.exe"