蠕虫病毒"木木"(Worm_Mumu.A)
来源:互联网 发布:淘宝店注销 编辑:程序博客网 时间:2024/04/29 14:16
from http://www.yt165.com/net/intro.asp
国家计算机病毒应急处理中心通过监测,于6月26日在我国和美国等国家发现一种通过互联网传播专门盗取“奇迹”和“传奇”游戏账号的蠕虫病毒——“木木”(Worm_MuMu.A)。
该病毒运行后将从体内放出PSIpcScan对所在网段的系统进行ipc密码破解(带有一个简单密码字典),当发现有破解出的密码后,病毒将自己复制到对方的系统利用psexec并启动,可以在网络中迅速传播。同时病毒将盗取到的账号密码发送到预置的信箱reint0.student@sina.com,sendmail2.student@sina.com和cq@58589.com。其中,病毒还利用某网站发送邮件,该网站自称“密码圣手”专门销售用于截取传奇、奇迹等游戏的登陆ID、密码、服务器等。病毒可随计算启动自动运行,并可躲避杀毒软件。
有关病毒的技术分析报告如下:
一、 感染系统
Windows 95/98/Me/NT/2000/XP
二、 技术特点
病毒名称:“木木”(Worm_Mumu.A)
病毒类型:蠕虫
病毒特征:
该病毒的程序使用Visual C++编制,主要感染系统为Windows 9x、Windows NT/2K 和Windows XP。病毒程序MUMU.EXE运行后释放出以下组件:
%Windows%/bboy.exe (21KB)
%System%/last.exe (21KB)
%System%/bboy.dll (37KB)
%System%/kavfind.exe (31KB)
%System%/psexec.exe (37KB)
%System%/IPCPass.txt (1KB)
%System%/mumu.exe (295KB)
(注:其中 %Windows% 为Windows缺省安装目录通常为C:/Windows or C:/WINNT。 %System%为Windows系统目录, Windows 95/98/ME系统位于 C:/Windows/System, Windows 2000/NT 系统位于C:/WINNT/System32 , Windows XP系统位于C:/Windows/System32)
其中BBOY.EXE和LAST.EXE是相同的 ,BBOY.DLL用于键盘截获。IPCPass.txt 含有预置的密码字典。PSEXEC.EXE 是sysinternals.com 发布的正常程序,用于远程启动程序。KAVFIND.EXE是另一个已有木马程序,它主要用于利用密码字典对C类地址进行扫描,然后进行口令猜测攻击。一旦攻击成功,将mumu.exe 拷贝到远程系统目录下,并使用PSEXEC.EXE激活病毒。
病毒将截获的游戏口令保存在文件%Windows%/QJINFO.INI中,并将该文件发送到reint0.student@sina.com和sendmail2.student@sina.com和cq@58589.com。
病毒添加注册表键值,使得病毒能随系统启动而自动运行,
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
Kernel ="%Windows%/bboy.exe"
- 蠕虫病毒"木木"(Worm_Mumu.A)
- 蠕虫病毒——“木木”(Worm_MuMu.A)
- 蠕虫病毒
- 蠕虫病毒
- 查杀蠕虫病毒
- 蠕虫病毒编写技术
- 蠕虫病毒编写技术
- 感染Nimda蠕虫病毒
- 12.蠕虫病毒分析
- 越狱及蠕虫病毒
- 一个非常简单那的蠕虫病毒(转)
- 有趣事的利用(VB蠕虫病毒代码)
- 朝花夕拾(3)—— 网络天空蠕虫病毒分析
- Delphi来编写蠕虫病毒浅析(转自天极)
- 蠕虫和病毒的区别
- jboss蠕虫病毒清理步骤
- 病毒预报:蠕虫Worm_TaopuLS.B
- w32.downadup.b蠕虫病毒详解及清除攻略(转)
- VC常见的几个error
- 一个四用户信息同步更新的存储过程
- C经典编程百例(转自唯C世界)
- EXP、IMP 命令详解
- 限制同一ip的注册数量
- 蠕虫病毒"木木"(Worm_Mumu.A)
- Turbo C 2.0库函数中文说明大全(收藏)
- 形容长得丑的经典30句 -增加几条
- 今天学习工作流!
- 丫头去培训了(第三天)
- linux系统备份方案--ghost网络篇
- 媒体文件被损坏该如何还原
- Tcl/tk是比较烦人的语言,没有什么好多编译工具啊
- Actionscript 3 - First Steps XI