9,515
社区成员
发帖
与我相关
我的任务
分享谁知道这种病毒是怎么回事bat.mumu.a.worm
发现了这种病毒该怎么办?名称bat.mumu.a.worm,在replace.bat中发现,网上目前没有资料
...全文
请发表友善的回复…
发表回复
jjzxm 2003-06-25
- 打赏
- 举报
我们的局域网上也有,可以这样解决
一、禁停三个服务(设置-〉控制面板-〉管理工具-〉服务)
Application
NtService
Psexec
二、停止系统共享(设置-〉控制面板-〉管理工具-〉计算机管理)
ADMIN$
C$
D$
E$
...
三、运行REGEDIT, 增加键值,保证系统重新启动后无缺省的系统共享
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"restrictanonymous"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoShareServer"=dword:00000000
"AutoSharewks"=dword:00000000
四、运行专杀工具
http://securityresponse.symantec.com/avcenter/FixMumu.exe
五、给所有WINDOWS用户设置安全口令
病毒系通过弱口令进行攻击,COPY病毒文件,启动服务。所以,做好工作站的安全配置最为重要!
一、禁停三个服务(设置-〉控制面板-〉管理工具-〉服务)
Application
NtService
Psexec
二、停止系统共享(设置-〉控制面板-〉管理工具-〉计算机管理)
ADMIN$
C$
D$
E$
...
三、运行REGEDIT, 增加键值,保证系统重新启动后无缺省的系统共享
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"restrictanonymous"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoShareServer"=dword:00000000
"AutoSharewks"=dword:00000000
四、运行专杀工具
http://securityresponse.symantec.com/avcenter/FixMumu.exe
五、给所有WINDOWS用户设置安全口令
病毒系通过弱口令进行攻击,COPY病毒文件,启动服务。所以,做好工作站的安全配置最为重要!
xiaojiyi 2003-06-25
- 打赏
- 举报
迅猛蠕虫“姆玛”(Bat.muma)技术分析报告
http://www.duba.net (2003-06-05 19:50) 文章来源: 金山毒霸安全资讯网
病毒名称:Bat.muma
病毒类型:蠕虫
危害级别:中
传播速度:高
技术特征:
该病毒采用批处理命令编写,并携带端口扫描工具,通过暴力破解被攻击的计算机超级用户密码,进行疯狂传播。
病毒行为:
1。病毒可能复制以下文件到系统目录
10.bat
hack.bat
hfind.exe
ipc.bat
muma.bat
near.bat
ntservice.bat
ntservice.exe
NTService.ini
nwiz.exe
nwiz.in_
nwiz.ini
ipcpass.txt
tihuan.txt
rep.exe
psexec.exe
random.bat
replace.bat
ss.bat
start.bat
pcmsg.dll
2。病毒由Start.bat开始运行。这个批处理程序会调用其它批处理程序去完成传染;
3。病毒会搜索从C:到H:盘中\MU目录以及其了目录下的所有文件,并把文件名保存在LAN.LOG文件中。当被搜索的文件名中包含“MU”字符串时,nwiz.exe将被执行,nwiz.exe根据nwiz.ini和nwiz.in_文件对病毒中的字符串进行简单的加密。这个搜索过程完成后,LAN.LOG会被删除;
4。删除ipcfind.txt文件,调HFind.exe进行网络扫描,搜索网络中的计算机。并试图使用以下的密码去破解被攻击的计算机。可能的密码是:
password
passwd
admin
pass
123
1234
12345
123456
<密码为空>
5。被HFind.exe破解成功的计算机,会被病毒将上述的所有文件通过管理员文件共享方式拷贝到其系统目录下。对于Windows NT、Windows200系统是C:\winnt\system32目录,对于WindowsXP系统是C:\winnt\system32或C:\Windows\system32目录,对于Win9X是C:\windows\system目录;
6。传染成功后,病毒会用Psexec.exe程序远程启动被感染计算机上的Start.bat,从而使病毒在被感染的计算机上激活;
7。调用系统程序netstat.exe,然后运行Near.bat从netstat的输出信息中获得更多的IP,并对这些IP进行攻击;
8。ss.bat创建或者修改系统中的admin用户,并设置其它密码为:KKKKKKK。为被攻击计算机留下一个后门。
9。利用ntservice.bat调用ntservice.exe为自己注册一个名为"Application"的系统服务,保证自己能在每次系统重启时被激。
http://www.duba.net (2003-06-05 19:50) 文章来源: 金山毒霸安全资讯网
病毒名称:Bat.muma
病毒类型:蠕虫
危害级别:中
传播速度:高
技术特征:
该病毒采用批处理命令编写,并携带端口扫描工具,通过暴力破解被攻击的计算机超级用户密码,进行疯狂传播。
病毒行为:
1。病毒可能复制以下文件到系统目录
10.bat
hack.bat
hfind.exe
ipc.bat
muma.bat
near.bat
ntservice.bat
ntservice.exe
NTService.ini
nwiz.exe
nwiz.in_
nwiz.ini
ipcpass.txt
tihuan.txt
rep.exe
psexec.exe
random.bat
replace.bat
ss.bat
start.bat
pcmsg.dll
2。病毒由Start.bat开始运行。这个批处理程序会调用其它批处理程序去完成传染;
3。病毒会搜索从C:到H:盘中\MU目录以及其了目录下的所有文件,并把文件名保存在LAN.LOG文件中。当被搜索的文件名中包含“MU”字符串时,nwiz.exe将被执行,nwiz.exe根据nwiz.ini和nwiz.in_文件对病毒中的字符串进行简单的加密。这个搜索过程完成后,LAN.LOG会被删除;
4。删除ipcfind.txt文件,调HFind.exe进行网络扫描,搜索网络中的计算机。并试图使用以下的密码去破解被攻击的计算机。可能的密码是:
password
passwd
admin
pass
123
1234
12345
123456
<密码为空>
5。被HFind.exe破解成功的计算机,会被病毒将上述的所有文件通过管理员文件共享方式拷贝到其系统目录下。对于Windows NT、Windows200系统是C:\winnt\system32目录,对于WindowsXP系统是C:\winnt\system32或C:\Windows\system32目录,对于Win9X是C:\windows\system目录;
6。传染成功后,病毒会用Psexec.exe程序远程启动被感染计算机上的Start.bat,从而使病毒在被感染的计算机上激活;
7。调用系统程序netstat.exe,然后运行Near.bat从netstat的输出信息中获得更多的IP,并对这些IP进行攻击;
8。ss.bat创建或者修改系统中的admin用户,并设置其它密码为:KKKKKKK。为被攻击计算机留下一个后门。
9。利用ntservice.bat调用ntservice.exe为自己注册一个名为"Application"的系统服务,保证自己能在每次系统重启时被激。
thindz 2003-06-24
- 打赏
- 举报
webycn(似水流年) ,现在我把那个该死的服务禁用,把那文件也删除了.因为以前我 在进程中没看过这个东西的.现在好象没再发作了.
thindz 2003-06-24
- 打赏
- 举报
MMD,我的 电脑就是这东东害得我一天都在大头.那些破文件,删了又出来.不知道它是如何感染文件的.放置一段时间又要发作.烦死了.查都查不出来.
webycn 2003-06-23
- 打赏
- 举报
在windows的服务中应该有一个application的,停掉.
在winnt/system32下找hfind.exe,删除,还有一系列的.bat,按时间排一下,很容易把这些东东全部干掉.然后,升级病毒库,杀毒.
在winnt/system32下找hfind.exe,删除,还有一系列的.bat,按时间排一下,很容易把这些东东全部干掉.然后,升级病毒库,杀毒.
areally 2003-06-23
- 打赏
- 举报
蠕虫啊,不好杀,容易感染
federal 2003-06-23
- 打赏
- 举报
我的机子上也有,norton 杀不了只能 隔离
